arrow_back

Introdução ao Security Command Center

Fazer login Inscreva-se
Quick tip: Review the prerequisites before you run the lab
Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the student account, which may cause extra charges incurred to your personal account.
Teste e compartilhe seu conhecimento com nossa comunidade.
done
Tenha acesso a mais de 700 laboratórios, selos de habilidade e cursos

Introdução ao Security Command Center

Laboratório 1 hora universal_currency_alt 1 crédito show_chart Introdutório
info Este laboratório pode incorporar ferramentas de IA para ajudar no seu aprendizado.
Teste e compartilhe seu conhecimento com nossa comunidade.
done
Tenha acesso a mais de 700 laboratórios, selos de habilidade e cursos

GSP1124

Logotipo dos laboratórios autoguiados do Google Cloud

Visão geral

O Security Command Center (SCC) é uma plataforma de monitoramento de segurança que ajuda os usuários a:

  • Descobrir configurações de segurança incorretas dos recursos do Google Cloud.
  • Relatar ameaças ativas em ambientes do Google Cloud.
  • Corrigir vulnerabilidades em ativos do Google Cloud.

Este laboratório é uma introdução ao Security Command Center que apresenta a interface, as configurações e as descobertas de vulnerabilidade do serviço.

Objetivos

Neste laboratório, você vai aprender a fazer o seguinte:

  • Descobrir os elementos da interface do SCC.
  • Definir as configurações do SCC no nível do projeto.
  • Analisar e corrigir as descobertas de vulnerabilidades do SCC.

Pré-requisitos

Embora não seja obrigatório para realizar este laboratório, é recomendado ter familiaridade com os seguintes tópicos:

Configuração e requisitos

Antes de clicar no botão Start Lab

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

  • Acesso a um navegador de Internet padrão (recomendamos o Chrome).
Observação: para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.
  • Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.
Observação: não use seu projeto ou conta do Google Cloud neste laboratório para evitar cobranças extras na sua conta.

Como iniciar seu laboratório e fazer login no console do Google Cloud

  1. Clique no botão Começar o laboratório. Se for preciso pagar, você verá um pop-up para selecionar a forma de pagamento. No painel Detalhes do laboratório à esquerda, você vai encontrar o seguinte:

    • O botão Abrir console do Google Cloud
    • O tempo restante
    • As credenciais temporárias que você vai usar neste laboratório
    • Outras informações, se forem necessárias

  2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.

    O laboratório ativa os recursos e depois abre a página Fazer login em outra guia.

    Dica: coloque as guias em janelas separadas lado a lado.

    Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

  3. Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.

    {{{user_0.username | "Nome de usuário"}}}

    Você também encontra o Nome de usuário no painel Detalhes do laboratório.

  4. Clique em Seguinte.

  5. Copie a Senha abaixo e cole na caixa de diálogo de boas-vindas.

    {{{user_0.password | "Senha"}}}

    Você também encontra a Senha no painel Detalhes do laboratório.

  6. Clique em Seguinte.

    Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

  7. Acesse as próximas páginas:

    • Aceite os Termos e Condições.
    • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
    • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.

Observação: clique em Menu de navegação no canto superior esquerdo para acessar uma lista de produtos e serviços do Google Cloud. Ícone do menu de navegação

Ativar o Cloud Shell

O Cloud Shell é uma máquina virtual com várias ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud. O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

  1. Clique em Ativar o Cloud Shell Ícone "Ativar o Cloud Shell" na parte de cima do console do Google Cloud.

Depois de se conectar, vai notar que sua conta já está autenticada, e que o projeto está configurado com seu PROJECT_ID. A saída contém uma linha que declara o projeto PROJECT_ID para esta sessão:

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

  1. (Opcional) É possível listar o nome da conta ativa usando este comando:
gcloud auth list

  1. Clique em Autorizar.

  2. A saída será parecida com esta:

Saída:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (Opcional) É possível listar o ID do projeto usando este comando:
gcloud config list project

Saída:

[core] project = <project_ID>

Exemplo de saída:

[core] project = qwiklabs-gcp-44776a13dea667a6 Observação: para conferir a documentação completa da gcloud, acesse o guia com informações gerais sobre a gcloud CLI no Google Cloud.

Cenário

5ce916afc496a60c.jpeg


O Cymbal Bank é um banco americano de varejo com mais de 2.000 filiais em todos os 50 estados. Ele oferece serviços abrangentes de débito e crédito, baseados em uma plataforma de pagamentos robusta. O Cymbal Bank é uma instituição legada de serviços financeiros que promove a transformação digital.

Ele foi fundado em 1920 com o nome de Troxler. O grupo Cymbal adquiriu a empresa em 1975, depois de investir pesado nos caixas eletrônicos patenteados do próprio grupo. Conforme o banco se tornou líder nacional, ele colocou foco estratégico na modernização da experiência do cliente, tanto pessoalmente nas agências quanto digitalmente, usando um app lançado em 2014. O banco emprega 42.000 pessoas em todo o país e, em 2019, registrou US$ 24 bilhões em receita.

O Cymbal Bank quer integrar uma plataforma centralizada de monitoramento de segurança para ajudar a monitorar ameaças e corrigir vulnerabilidades nos recursos do Google Cloud dos seus aplicativos de banco corporativo. Como engenheiro de segurança em nuvem, você precisa conhecer os recursos avançados do Security Command Center para fazer uma apresentação ao CTO sobre os benefícios do serviço.

Tarefa 1: descobrir os elementos da interface do SCC

Nesta tarefa, você vai conhecer a interface do Security Command Center (SCC) e os principais recursos do serviço.

  1. No console do Cloud, no Menu de navegação (Ícone do menu de navegação), selecione Segurança > Visão geral dos riscos.
Observação: se você receber uma mensagem informando que é preciso criar uma organização, atualize o navegador.
  1. Na página Visão geral dos riscos, role para baixo e investigue os painéis de informação relativos a Novas ameaças ao longo do tempo e Vulnerabilidades por tipo de recurso.

Ameaças e vulnerabilidades são tipos distintos de classes de descoberta, que o SCC usa para categorizar e relatar problemas de segurança no ambiente. Consulte a documentação Como encontrar classes para saber mais.

  • Ameaças notificam os usuários do Google Cloud das atividades suspeitas que estão ocorrendo no momento nos ambientes do Google Cloud, como uma conta de serviço que investiga as próprias permissões.
  • Vulnerabilidades fornecem informações sobre configurações incorretas ou vulnerabilidades nos recursos, como uma porta TCP aberta ou uma biblioteca desatualizada em execução em uma máquina virtual.

Uma descoberta é um registro gerado pelo SCC, que fornece detalhes sobre dados de vulnerabilidades ou ameaças no painel do Security Command Center.

  1. No card Novas ameaças ao longo do tempo, clique na guia Descobertas por tipo de recurso.

Esse card enumera ameaças ativas atuais que ocorreram no seu projeto no período determinado pelo menu suspenso Intervalo de tempo no lado direito do painel de informações.

Observação: na instância do laboratório, o número de ameaças é zero porque você está usando um projeto de sandbox do Google Cloud que nunca foi atacado. Você vai aprender a se proteger contra ameaças em outro laboratório, Detectar e investigar ameaças com o Security Command Center.

Por padrão, o menu suspenso de intervalo de tempo mostra todas as ameaças dos últimos sete dias, mas você pode consultar todas as ocorridas nos últimos 180 dias.

  1. No seletor de Intervalo de tempo, selecione Últimos 180 dias.
  2. Role até o card Vulnerabilidades por tipo de recurso.
Vulnerabilidades ativas nos últimos 180 dias

Deve haver uma lista com cerca de 80 vulnerabilidades ativas.

A maioria delas é gerada porque, para os fins deste laboratório, você está usando uma rede VPC padrão e conhecida por não ser segura. Por exemplo, ela tem regras de firewall que permitem acesso SSH e RDP de qualquer endereço IP.

  1. Agora role para baixo até o card Vulnerabilidades ativas.

  2. Se a guia Descobertas por categoria não estiver selecionada por padrão, clique nela.

Ela vai mostrar as vulnerabilidades do ambiente organizadas por categorias de vulnerabilidade e gravidade. A gravidade é uma propriedade da descoberta que ajuda a estimar o possível risco que um problema representa para o ambiente do Google Cloud.

Não é possível alterar o nível de gravidade. Cada tipo de descoberta tem um nível de gravidade predeterminado pelo SCC. Confira abaixo uma lista de níveis de gravidade e exemplos comuns:

  • Crítico: por exemplo, uma sessão de shell reverso executada de um pod do GKE.
  • Alto: por exemplo, uma porta SSH aberta a toda a Internet (0.0.0.0/0).
  • Médio: por exemplo, um dos papéis primários do IAM (Proprietário/Editor/Leitor) foi concedido a um usuário ou a uma conta de serviço.
  • Baixo: por exemplo, nenhum registro de fluxo da VPC foi coletado.
  • Não especificado: pode aparecer no SCC, mas é incomum.

Confira os critérios detalhados sobre como o SCC define a gravidade de uma descoberta na página Gravidades das descobertas.

Observações: as descobertas sobre as portas RDP e SSH abertas têm níveis de gravidade altos.
  1. Agora selecione a guia Descobertas por tipo de recurso. Ela mostra as vulnerabilidades categorizadas pelos diferentes tipos de recursos do Google Cloud disponíveis.
Observação: como este projeto tem uma rede VPC padrão, a maioria das descobertas são relativas a componentes da rede, como firewall, rede ou sub-rede.
  1. Por fim, selecione a guia Descobertas por projeto. Ela deve ser usada com o SCC no nível do nó raiz de uma pasta ou organização.
Observação: no laboratório, temos acesso a apenas um projeto. Por isso, essa guia tem só o nome do projeto atual.
  1. No portal Segurança, que pode ser acessado ao selecionar Segurança no Menu de navegação (Ícone do menu de navegação), é possível notar as várias guias listadas no cabeçalho do Security Command Center. Confira a descrição de cada uma delas.
Seção do SCC Descrição
Visão geral de riscos Mostra as vulnerabilidades do ambiente organizadas por categoria e gravidade.
Ameaças Apresenta uma visão geral das descobertas classificadas como ameaças no SCC. Alguns exemplos podem ser uma tentativa bem-sucedida de um ataque de Força bruta: SSH, um software de mineração de criptomoedas em execução em recursos de computação, ou seja, a Execução: regra YARA de mineração de criptomoedas e uma sessão de Shell reverso iniciada em um contêiner do GKE.
Vulnerabilidades Fornece uma visão geral de todas as configurações incorretas ou falhas no software que podem existir no escopo atual (no projeto, na pasta ou na organização). Ela permite um acesso mais refinado às vulnerabilidades, porque é possível detalhar cada uma delas. Alguns exemplos de vulnerabilidades são uma porta MySQL aberta para toda a Internet, uma instância de papéis primitivos usados, como o papel de proprietário/editor/leitor atribuído a um usuário ou a uma conta de serviço, e uma página da Web ou um web app vulneráveis a ataques de XSS.
Compliance Mostra informações sobre a compatibilidade do projeto com os padrões de compliance mais importantes, como CIS, PCI DSS, NIST 800-53, entre outros.
Ativos Inclui informações sobre os ativos do Inventário de recursos do Cloud, que monitora continuamente os ativos no ambiente de nuvem.
Descobertas Permite a análise de todas as descobertas disponíveis no banco de dados do SCC.
Fontes Detalha os módulos de software que analisam a configuração dos recursos do Google Cloud e monitoram as atividades atuais lendo os arquivos de registro e verificando os processos em execução.
Gerenciamento de postura Permite usar o serviço de postura de segurança no SCC. Consulte o guia Gerenciar uma postura de segurança para saber mais.

Tarefa 2: definir as configurações do SCC no nível do projeto

Nesta tarefa, você vai aprender a definir as configurações do SCC no nível do projeto.

  1. Clique em Configurações no canto superior direito da página Visão geral de riscos.

  2. Verifique se você está na guia Serviços.

Nessa guia, é possível configurar parâmetros dos serviços integrados do SCC, também chamados de fontes (o cérebro do SCC, conforme mostrado na tarefa anterior). Para os fins deste laboratório, os termos serviços e fontes são intercambiáveis.

Os serviços detectam ameaças e vulnerabilidades e fornecem informações ao SCC. A maioria deles está disponível apenas na edição Premium do SCC, que é provisionada neste laboratório.

Confira abaixo os serviços integrados que você pode configurar:

  • Análise de integridade da segurança (SHA): encontra e relata configurações incorretas de recursos, como registros desativados, permissões adicionais do IAM e serviços expostos publicamente. Ela está ativada no projeto e detectou as 76 vulnerabilidades nele.
  • Web Security Scanner (WSS): verifica web apps disponíveis publicamente e expostos por meio de endereços IP externos, além de conferir se há alguma das dez principais vulnerabilidades do OWASP.
  • Detecção de ameaça a contêineres (CTD): detecta os ataques mais comuns do ambiente de execução de contêiner em um Container-Optimized OS.
  • Detecção de ameaça a eventos (ETD): análise de ameaças baseada em registros que verifica continuamente se há possíveis ameaças nos registros do Google Cloud e do Google Workspace.
  • Detecção de ameaças a máquinas virtuais: analisa a memória de instâncias da VM no nível de um hipervisor e pode detectar atividades suspeitas que ocorrem na memória da VM. Como exemplo, há os módulos do kernel inesperados ou a execução de softwares de mineração de criptomoedas.

  1. Clique no link Gerenciar configurações da Análise de integridade da segurança.

  2. Clique na guia Módulos.

Os módulos são unidades de lógica de detecção predefinidas ou personalizadas. O SCC tem vários tipos de módulos que podem ajudar a detectar diversas configurações incorretas de recursos. O SCC facilita a ativação e a desativação de diferentes tipos de módulo para dar suporte à sua postura de segurança e aos recursos que você quer monitorar.

  1. No campo de filtro, digite VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED e pressione Enter.

  2. Clique em Ativar no menu suspenso Status.

Com essa opção ativada, a Análise de integridade da segurança verifica se a propriedade enableFlowLogs das sub-redes VPC está ausente ou definida como falsa.

Observação: haverá um atraso até que o SCC comece a verificar os recursos usando o módulo recém-ativado.

Agora que você já conhece melhor os diversos serviços do Security Command Center e sabe como configurá-los, aprenda a identificar e corrigir vulnerabilidades no SCC.

Tarefa 3: analisar e corrigir as descobertas de vulnerabilidade do SCC

Nesta tarefa, você vai aprender a gerenciar e mitigar as descobertas de vulnerabilidade.

Marcar uma descoberta como INATIVA para mudar o estado dela

  1. No Menu de navegação (Ícone do menu de navegação), selecione Segurança > Visão geral de riscos.
  2. No menu à esquerda, clique na guia Descobertas.
  3. Defina o seletor de Intervalo de tempo no canto superior direito como Todo o período.

  1. No canto superior esquerdo da tela, encontre a janela Visualização da consulta, que tem um filtro para classificar todas as descobertas disponíveis.

Por padrão, a guia Descobertas mostra as descobertas não silenciadas com o estado ATIVO.

As propriedades state e mute de cada descoberta definem a visibilidade dela em vários filtros usados para o SCC.

  • O valor mute pode ser definido nas descobertas pelo analista de segurança ou automaticamente para que descobertas irrelevantes e ruidosas não apareçam na interface do SCC.
  • A propriedade state indica se uma descoberta requer atenção e ainda não foi processada ou se ela foi corrigida ou processada de alguma forma e ficou inativa.

Um modo recomendado de gerenciar o ciclo de vida das descobertas e ocultá-las é usar a propriedade mute. Em geral, a alteração da propriedade state é feita por fontes de software.

  1. No card Filtros rápidos, marque a caixa de seleção associada à categoria Rede padrão.

  1. A string de consulta na Visualização da consulta mudou. Agora AND category="DEFAULT_NETWORK" está anexada a ela.

  2. Na seção Resultados da consulta de descobertas, marque a caixa de seleção associada a Rede padrão e clique em Mais ações (Ícone de mais ações) > Alterar estado ativo.

  3. Defina o estado dessa descoberta como Inativo.

Agora, a descoberta está desativada e oculta na tela porque, por padrão, só descobertas ativas e não silenciadas aparecem.

Filtrar os resultados das descobertas aplicando uma consulta

  1. É possível redefinir a visualização da guia Descobertas. Para isso, selecione Visão geral de riscos e escolha Descobertas no cabeçalho do SCC.

  1. Clique no botão Editar consulta.

  2. Altere a string de consulta no editor de consultas para category="DEFAULT_NETWORK".

  3. Ao final da edição, clique no botão Aplicar.

    Pode levar um ou dois minutos para que a mudança entre em vigor. Depois disso, apenas uma descoberta de Rede padrão será listada.

No menu à esquerda, em Filtros rápidos, a caixa de seleção Mostrar descobertas inativas está selecionada. Com o SCC, é possível pesquisar descobertas ativas e inativas. Agora, você vai reverter o estado da descoberta.

  1. Na seção Resultados da consulta de descobertas, marque a caixa de seleção Rede padrão e clique em Mais ações (Ícone de mais ações) > Alterar estado ativo.

  2. Defina o estado da descoberta como Ativo.

Embora seja possível ativar e desativar as descobertas manualmente, elas nunca podem ser excluídas por um usuário. Uma descoberta só é excluída automaticamente quando não foi atualizada por verificadores durante um período de 13 meses.

Quando um verificador de segurança analisa a mesma descoberta e não detecta a configuração incorreta que iniciou a descoberta, ele a marca como INACTIVE. Se a vulnerabilidade ainda estiver no sistema, a descoberta vai permanecer no estado ACTIVE.

  1. Clique no botão Limpar tudo ao lado de Filtros rápidos para redefinir a guia de descobertas.

  2. Na janela Visualização da consulta, clique em Editar consulta.

  3. Copie e cole a seguinte consulta:

state="ACTIVE" AND NOT mute="MUTED" AND resource.type="google.compute.Subnetwork"
  1. Ao final da edição, clique no botão Aplicar.

Agora todas as descobertas relacionadas a sub-redes são mostradas. Neste laboratório, a rede VPC padrão é criada com o parâmetro --subnet-mode=auto. Por isso, nenhuma das sub-redes dela tem o Acesso privado do Google ativado nem grava registros de fluxo da VPC.

Filtrar descobertas por categoria e silenciá-las

Ao trabalhar em um ambiente de teste, é possível que você queira ocultar determinadas descobertas. Aqui, como você não quer que as descobertas do SCC sobre o Acesso privado do Google apareçam na rede, você precisa silenciar essas descobertas.

  1. Na janela Filtros rápidos, selecione a categoria Acesso privado do Google desativado.

  2. No painel Resultados da consulta de descobertas, marque a caixa de seleção Categoria mais alta para que todas as descobertas de "Acesso privado do Google desativado" sejam selecionadas.

Caixa de seleção Categoria selecionada

  1. Clique em Mais ações (Ícone de mais ações) e no botão Opções de silenciamento.

  2. No menu suspenso, selecione Aplicar substituição de silenciamento. Essa operação silencia as descobertas atuais.

  3. Selecione Visão geral de riscos no menu à esquerda e clique em Descobertas para redefinir a visualização.

As descobertas de Acesso privado do Google desativado foram silenciadas e não serão mais exibidas. O silenciamento é um recurso avançado para filtrar os resultados do SCC e permite controle refinado sobre recursos e descobertas relevantes.

Criar uma regra de silenciamento para ocultar determinadas descobertas

Outra configuração incorreta da rede padrão é que os registros de fluxo da VPC também estão desativados nas sub-redes dessa rede. Como você está trabalhando em um ambiente de teste, não é necessário ativar os registros de fluxo da VPC.

Nesta seção, você vai silenciar todas as descobertas atuais e futuras relacionadas a essa categoria.

  1. Na janela Resultados da consulta de descobertas, clique em Mais ações (Ícone de mais ações) > Opções de silenciamento > Gerenciar regras de silenciamento.
  2. Clique no botão Criar regra de silenciamento.
Observação: é possível criar uma configuração no SCC que silencia todas as descobertas atuais e futuras que atendem aos critérios definidos no campo Consulta de descobertas. Anteriormente, você silenciou as descobertas atuais de "Acesso privado do Google desativado" (PGA).

Essa foi uma operação única, e os relatos de descobertas recém-detectadas sobre o PGA desativado ainda aparecem no SCC. No entanto, se você criar uma regra de silenciamento, todas as descobertas atuais e futuras serão silenciadas.

  1. Na nova janela, insira uma regra de silenciamento com o ID muting-pga-findings.

  2. Na descrição da regra, insira Mute rule for VPC Flow Logs.

  3. No campo de entrada do filtro Consulta de descobertas, insira o seguinte filtro:

category="FLOW_LOGS_DISABLED"
  1. Clique no botão Salvar.

Você vai receber uma notificação informando que uma regra de silenciamento foi criada.

Clique em Verificar meu progresso para conferir se você concluiu esse objetivo. Criar uma regra de silenciamento

  1. No menu à esquerda, atualize o painel principal do SCC selecionando Descobertas.

    Verifique se não há mais descobertas de Acesso privado do Google desativado ou de Registros de fluxo desativados.

Observação: se essas descobertas ainda forem exibidas, atualize a guia do navegador.

Crie outra rede VPC para testar a regra de silenciamento de descobertas

Nesta seção, você vai criar mais uma rede com sub-redes configuradas automaticamente para testar as modificações recentes nas regras de descoberta.

  1. Abra uma nova sessão no Cloud Shell (Ícone de Ativar Cloud Shell) e execute o seguinte comando para criar a rede:
gcloud compute networks create scc-lab-net --subnet-mode=auto Observação: a criação da sub-rede pode levar alguns minutos.

A saída recebida deve ser semelhante ao exemplo abaixo.

Saída:

Created [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-c6821aef4c0f/global/networks/SCC-lab-net]. NAME: SCC-lab-net SUBNET_MODE: AUTO BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4:

Clique em Verificar meu progresso para conferir se você concluiu esse objetivo. Criar uma rede

  1. Feche a janela do Cloud Shell após verificar a mensagem acima.

  2. Atualize a janela de descobertas do SCC e observe a descoberta de Acesso privado do Google desativado recém-criada. Apesar disso, não há descobertas sobre os registros de fluxo de VPC devido à regra de silenciamento criada anteriormente.

    Embora regras de silenciamento tenham sido criadas para os registros de fluxo da VPC, o SCC permite a visualização desses registros com o editor de consultas.

  3. Clique no botão Editar consulta e cole o seguinte para substituir o texto atual do filtro de consulta:

category="FLOW_LOGS_DISABLED"

  1. Clique em Aplicar.

    Verifique a janela Resultados da consulta de descobertas e observe que, na coluna Nome de exibição do recurso, as redes padrão e SCC-lab-net estão listadas.

Observação: se a rede padrão não estiver listada, verifique se o parâmetro Rows per page está definido como 100. Verifique também se o parâmetro Time Range está definido como o valor All time.

  1. Na janela Visualização da consulta, clique em Editar consulta.

  2. Agora, copie e cole esta consulta para substituir o texto da consulta anterior:

state="ACTIVE" AND NOT mute="MUTED"

  1. Ao final da edição, clique no botão Aplicar.

    Com isso, as descobertas que você silenciou anteriormente serão exibidas.

Investigar e corrigir duas descobertas com gravidade alta

Nesta seção, você vai investigar e descobrir como corrigir duas descobertas com gravidade alta.

  1. Na seção Filtros rápidos, role a tela para baixo até o tipo Gravidade e clique em Alta na lista de opções de gravidade.

Duas descobertas vão aparecer: Porta RDP aberta e Porta SSH aberta. Elas foram iniciadas porque a rede padrão tem duas regras de firewall que permitem o tráfego SSH e RDP de toda a Internet para todas as instâncias dessa rede.

  1. Na janela Resultados da consulta de descobertas, clique na descoberta Porta RDP aberta.

Uma nova janela vai aparecer com uma descrição detalhada do problema, uma lista de recursos afetados e as Próximas etapas para ajudar você a lidar com ele.

  1. Na seção Próximas etapas, clique no link para acessar a página de regras de firewall, que será aberta em uma nova guia.

  2. Clique na regra de firewall default-allow-rdp.

  3. Clique em Editar.

  4. Exclua o intervalo de IPs de origem 0.0.0.0/0.

  5. Adicione o intervalo de IPs de origem 35.235.240.0/20 e pressione Enter.

Observação: esse intervalo de endereços IP é usado para estabelecer com segurança a conexão a instâncias de VM pelo Identity-Aware Proxy. Saiba mais na página Como usar o IAP para encaminhamento de TCP.

Não altere nenhum outro parâmetro.

  1. Clique em Salvar.

  2. Depois disso, feche a guia do navegador em que você editou a regra de firewall.

  3. Atualize a guia do navegador de descobertas do SCC.

    Agora apenas uma descoberta com gravidade alta deve aparecer: Porta SSH aberta.

Atualizar as regras de firewall para resolver uma descoberta

  1. Clique na descoberta Porta SSH aberta.

  2. Role a tela até a seção Próximas etapas e clique no link para acessar a página de regras de firewall, que será aberta em uma nova guia.

  3. Clique na regra de firewall default-allow-ssh.

  4. Clique em Editar.

  5. Exclua o intervalo de IPs de origem 0.0.0.0/0.

  6. Adicione o intervalo de IPs de origem 35.235.240.0/20 e pressione Enter.

    Não altere nenhum outro parâmetro.

  7. Clique em Salvar.

  8. Depois disso, feche a guia do navegador em que você editou a regra de firewall.

Clique em Verificar meu progresso para conferir se você concluiu esse objetivo. Atualizar as regras de firewall

  1. Feche a janela com uma descrição de uma descoberta aberta e atualize a janela do navegador.

    Agora não deverão aparecer descobertas com gravidade Alta.

Parabéns!

Neste laboratório, você aprendeu a usar os elementos da interface do Security Command Center, definir configurações do SCC no nível do projeto e analisar e corrigir vulnerabilidades no serviço. Você também usou o SCC para identificar e corrigir vulnerabilidades de segurança críticas no ambiente do Google Cloud.

Próximas etapas / Saiba mais

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 26 de novembro de 2024

Laboratório testado em 29 de abril de 2024

Copyright 2025 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.

Before you begin

  1. Labs create a Google Cloud project and resources for a fixed time
  2. Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
  3. On the top left of your screen, click Start lab to begin

Use private browsing

  1. Copy the provided Username and Password for the lab
  2. Click Open console in private mode

Sign in to the Console

  1. Sign in using your lab credentials. Using other credentials might cause errors or incur charges.
  2. Accept the terms, and skip the recovery resource page
  3. Don't click End lab unless you've finished the lab or want to restart it, as it will clear your work and remove the project

Este conteúdo não está disponível no momento

Você vai receber uma notificação por e-mail quando ele estiver disponível

Ótimo!

Vamos entrar em contato por e-mail se ele ficar disponível

One lab at a time

Confirm to end all existing labs and start this one

Use private browsing to run the lab

Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the Student account, which may cause extra charges incurred to your personal account.