此页面由 Cloud Translation API 翻译。

检测服务

本页面列出了 Security Command Center 用于检测云环境中的安全问题的检测服务（有时也称为安全来源）。

当这些服务检测到问题时，会生成发现结果，这是一种记录，用于识别安全问题，并为您提供确定问题优先级和解决问题所需的信息。

您可以在 Google Cloud 控制台中查看发现结果，并以多种不同的方式过滤它们，例如按发现结果类型、资源类型或特定资产进行过滤。每个安全来源都可能提供更多过滤条件，以帮助您整理发现结果。

Security Command Center 的 IAM 角色可以在组织、文件夹或项目级层授予。您能否查看、修改、创建或更新发现结果、资产和安全来源，取决于您获授予的访问权限级别。如需详细了解 Security Command Center 角色，请参阅访问权限控制。

漏洞检测服务

漏洞检测服务包括内置服务和集成服务，可检测云环境中的软件漏洞、配置错误和状态违规行为。这些类型的安全问题统称为漏洞。

GKE 安全状况信息中心

GKE 安全状况信息中心是 Google Cloud 控制台中的一个页面，可为您提供有关 GKE 集群中潜在安全问题的有见地且切实可行的发现。

如果您启用了以下任何 GKE 安全状况信息中心功能，则会在 Security Command Center 标准层级或高级层级中看到相应发现结果：

GKE 安全状况信息中心功能	Security Command Center 发现结果类
工作负载配置审核	`MISCONFIGURATION`
容器操作系统漏洞扫描语言包漏洞扫描实用的安全公告（预览版）	`VULNERABILITY`

这些发现会显示有关安全问题的信息，并提供有关如何解决工作负载或集群中问题的建议。

在控制台中查看 GKE 安全状况信息中心的发现结果

Google Cloud 控制台

在 Google Cloud 控制台中，前往 Security Command Center 的发现结果页面。
前往“发现结果”页面
选择您的 Google Cloud 项目或组织。
在快速过滤条件部分的来源显示名称子部分中，选择 GKE 安全状况。发现结果的查询结果会更新为仅显示此来源的发现结果。
如需查看特定发现结果的详细信息，请点击类别列中的发现结果名称。系统会打开发现结果的详细信息面板，并显示摘要标签页。
在摘要标签页上，查看发现结果的详细信息，包括有关检测到的内容、受影响的资源的信息，以及您可以采取的发现结果修复步骤（如果有）。
可选：如需查看发现结果的完整 JSON 定义，请点击 JSON 标签页。

安全运维控制台

在 Security Operations 控制台中，前往发现结果页面。
```
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
```
将 CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。
在汇总部分中，点击以展开来源显示名称子部分。
选择 GKE Security Posture。发现结果的查询结果会更新为仅显示此来源的发现结果。
如需查看特定发现结果的详细信息，请点击类别列中的发现结果名称。系统会打开发现结果的详细信息面板，并显示摘要标签页。
在摘要标签页上，查看发现结果的详细信息，包括有关检测到的内容、受影响的资源的信息，以及您可以采取的发现结果修复步骤（如果有）。
可选：如需查看发现结果的完整 JSON 定义，请点击 JSON 标签页。

IAM Recommender

当 IAM 角色包含主账号不需要的 IAM 权限时，IAM Recommender 会提供一些建议，您可以遵循这些建议，通过移除或替换主账号中的 IAM 角色来提高安全性。

激活 Security Command Center 后，IAM 建议功能会自动启用。

启用或停用 IAM 建议工具的发现结果

如需在 Security Command Center 中启用或停用 IAM Recommender 发现结果，请按照以下步骤操作：

在 Google Cloud 控制台中，进入 Security Command Center 设置页面的集成服务标签页：

转到“设置”
如有必要，请向下滚动到 IAM Recommender 条目。
在相应条目的右侧，选择启用或停用。

IAM Recommender 的发现结果归类为漏洞。

如需修复 IAM Recommender 的发现结果，请展开下面的部分以查看 IAM Recommender 发现结果表。每个发现结果的修复步骤包含在表条目中。

IAM Recommender 检测器

检测器摘要

检测器	摘要
`IAM role has excessive permissions` API 中的类别名称：`IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS`	发现结果说明：IAM Recommender 检测到一个服务账号，其包含会向用户账号授予过多权限的一个或多个 IAM 角色。价格层级：付费方案支持的资源： google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization 修正此发现结果：使用 IAM Recommender 按照以下步骤应用此发现结果的推荐修正：在 Google Cloud 控制台中的发现结果详细信息的后续步骤部分中，复制 IAM 页面的网址并粘贴到浏览器地址栏中，然后按 `Enter` 键。系统会加载 IAM 页面。在 IAM 页面右侧顶部附近，点击在表格中查看建议。建议会显示在表格中。在安全性数据分析列中，点击与过多权限相关的任何建议。建议详细信息面板随即会打开。查看您可以采取的措施的建议，以解决问题。点击应用。问题解决后，IAM Recommender 会在 24 小时内将发现结果状态更新为 `INACTIVE`。
`Service agent role replaced with basic role` API 中的类别名称：`SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE`	发现结果说明：IAM Recommender 检测到授予服务代理的原始默认 IAM 角色被替换为基本 IAM 角色之一：Owner、Editor 或 Viewer。基本角色是权限过多的旧角色，不应授予服务代理。价格层级：付费方案支持的资源： google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization 修正此发现结果：使用 IAM Recommender 按照以下步骤应用此发现结果的推荐修正：在 Google Cloud 控制台中的发现结果详细信息的后续步骤部分中，复制 IAM 页面的网址并粘贴到浏览器地址栏中，然后按 `Enter` 键。系统会加载 IAM 页面。在 IAM 页面右侧顶部附近，点击在表格中查看建议。建议会显示在表格中。在安全性数据分析列中，点击与过多权限相关的任何权限。建议详细信息面板随即会打开。查看过多的权限。点击应用。问题解决后，IAM Recommender 会在 10 天内将发现结果状态更新为 `INACTIVE`。
`Service agent granted basic role` API 中的类别名称：`SERVICE_AGENT_GRANTED_BASIC_ROLE`	发现结果说明：IAM Recommender 检测到为服务代理授予下列基本 IAM 角色之一的 IAM：Owner、Editor 或 Viewer。基本角色是权限过多的旧角色，不应授予服务代理。价格层级：付费方案支持的资源： google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization 修正此发现结果：使用 IAM Recommender 按照以下步骤应用此发现结果的推荐修正：在 Google Cloud 控制台中的发现结果详细信息的后续步骤部分中，复制 IAM 页面的网址并粘贴到浏览器地址栏中，然后按 `Enter` 键。系统会加载 IAM 页面。在 IAM 页面右侧顶部附近，点击在表格中查看建议。建议会显示在表格中。在安全性数据分析列中，点击与过多权限相关的任何权限。建议详细信息面板随即会打开。查看过多的权限。点击应用。问题解决后，IAM Recommender 会在 24 小时内将发现结果状态更新为 `INACTIVE`。
`Unused IAM role` API 中的类别名称：`UNUSED_IAM_ROLE`	发现结果说明：IAM Recommender 检测到一个用户账号，其具有在过去 90 天内未使用过的 IAM 角色。价格层级：付费方案支持的资源： google.cloud.resourcemanager.Project google.cloud.resourcemanager.Folder google.cloud.resourcemanager.Organization 修正此发现结果：使用 IAM Recommender 按照以下步骤应用此发现结果的推荐修正：在 Google Cloud 控制台中的发现结果详细信息的后续步骤部分中，复制 IAM 页面的网址并粘贴到浏览器地址栏中，然后按 `Enter` 键。系统会加载 IAM 页面。在 IAM 页面右侧顶部附近，点击在表格中查看建议。建议会显示在表格中。在安全性数据分析列中，点击与过多权限相关的任何权限。建议详细信息面板随即会打开。查看过多的权限。点击应用。问题解决后，IAM Recommender 会在 24 小时内将发现结果状态更新为 `INACTIVE`。

IAM role has excessive permissions

API 中的类别名称：IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS

发现结果说明：IAM Recommender 检测到一个服务账号，其包含会向用户账号授予过多权限的一个或多个 IAM 角色。

价格层级：付费方案

支持的资源：

修正此发现结果 ：

使用 IAM Recommender 按照以下步骤应用此发现结果的推荐修正：

在 Google Cloud 控制台中的发现结果详细信息的后续步骤部分中，复制 IAM 页面的网址并粘贴到浏览器地址栏中，然后按 Enter 键。系统会加载 IAM 页面。
在 IAM 页面右侧顶部附近，点击在表格中查看建议。建议会显示在表格中。
在安全性数据分析列中，点击与过多权限相关的任何建议。建议详细信息面板随即会打开。
查看您可以采取的措施的建议，以解决问题。
点击应用。

问题解决后，IAM Recommender 会在 24 小时内将发现结果状态更新为 INACTIVE。

Service agent role replaced with basic role

API 中的类别名称：SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE

发现结果说明：IAM Recommender 检测到授予服务代理的原始默认 IAM 角色被替换为基本 IAM 角色之一：Owner、Editor 或 Viewer。基本角色是权限过多的旧角色，不应授予服务代理。

价格层级：付费方案

支持的资源：

修正此发现结果 ：

使用 IAM Recommender 按照以下步骤应用此发现结果的推荐修正：

在 Google Cloud 控制台中的发现结果详细信息的后续步骤部分中，复制 IAM 页面的网址并粘贴到浏览器地址栏中，然后按 Enter 键。系统会加载 IAM 页面。
在 IAM 页面右侧顶部附近，点击在表格中查看建议。建议会显示在表格中。
在安全性数据分析列中，点击与过多权限相关的任何权限。建议详细信息面板随即会打开。
查看过多的权限。
点击应用。

问题解决后，IAM Recommender 会在 10 天内将发现结果状态更新为 INACTIVE。

Service agent granted basic role

API 中的类别名称：SERVICE_AGENT_GRANTED_BASIC_ROLE

发现结果说明：IAM Recommender 检测到为服务代理授予下列基本 IAM 角色之一的 IAM：Owner、Editor 或 Viewer。基本角色是权限过多的旧角色，不应授予服务代理。

价格层级：付费方案

支持的资源：

修正此发现结果 ：

使用 IAM Recommender 按照以下步骤应用此发现结果的推荐修正：

在 Google Cloud 控制台中的发现结果详细信息的后续步骤部分中，复制 IAM 页面的网址并粘贴到浏览器地址栏中，然后按 Enter 键。系统会加载 IAM 页面。
在 IAM 页面右侧顶部附近，点击在表格中查看建议。建议会显示在表格中。
在安全性数据分析列中，点击与过多权限相关的任何权限。建议详细信息面板随即会打开。
查看过多的权限。
点击应用。

问题解决后，IAM Recommender 会在 24 小时内将发现结果状态更新为 INACTIVE。

Unused IAM role

API 中的类别名称：UNUSED_IAM_ROLE

发现结果说明：IAM Recommender 检测到一个用户账号，其具有在过去 90 天内未使用过的 IAM 角色。

价格层级：付费方案

支持的资源：

修正此发现结果 ：

使用 IAM Recommender 按照以下步骤应用此发现结果的推荐修正：

在 Google Cloud 控制台中的发现结果详细信息的后续步骤部分中，复制 IAM 页面的网址并粘贴到浏览器地址栏中，然后按 Enter 键。系统会加载 IAM 页面。
在 IAM 页面右侧顶部附近，点击在表格中查看建议。建议会显示在表格中。
在安全性数据分析列中，点击与过多权限相关的任何权限。建议详细信息面板随即会打开。
查看过多的权限。
点击应用。

问题解决后，IAM Recommender 会在 24 小时内将发现结果状态更新为 INACTIVE。

在控制台中查看 IAM 建议工具的发现结果

Google Cloud 控制台

在 Google Cloud 控制台中，前往 Security Command Center 的发现结果页面。
前往“发现结果”页面
选择您的 Google Cloud 项目或组织。
在快速过滤条件部分的来源显示名称子部分中，选择 IAM Recommender。发现结果的查询结果会更新为仅显示此来源的发现结果。
如需查看特定发现结果的详细信息，请点击类别列中的发现结果名称。系统会打开发现结果的详细信息面板，并显示摘要标签页。
在摘要标签页上，查看发现结果的详细信息，包括有关检测到的内容、受影响的资源的信息，以及您可以采取的发现结果修复步骤（如果有）。
可选：如需查看发现结果的完整 JSON 定义，请点击 JSON 标签页。

安全运维控制台

在 Security Operations 控制台中，前往发现结果页面。
```
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
```
将 CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。
在汇总部分中，点击以展开来源显示名称子部分。
选择 IAM Recommender。发现结果的查询结果会更新为仅显示此来源的发现结果。
如需查看特定发现结果的详细信息，请点击类别列中的发现结果名称。系统会打开发现结果的详细信息面板，并显示摘要标签页。
在摘要标签页上，查看发现结果的详细信息，包括有关检测到的内容、受影响的资源的信息，以及您可以采取的发现结果修复步骤（如果有）。
可选：如需查看发现结果的完整 JSON 定义，请点击 JSON 标签页。

在 Google Cloud 控制台中，您还可以选择 IAM 建议工具查询预设，在漏洞页面上查看 IAM 建议工具的发现结果。

Mandiant Attack Surface Management

Mandiant 是全球领先的一线威胁情报提供商。Mandiant Attack Surface Management 可识别外部攻击面中的漏洞和配置错误，帮助您及时防范最新的网络攻击。

激活 Security Command Center Enterprise 层级后，系统会自动启用 Mandiant Attack Surface Management，您可以在 Google Cloud 控制台中获取发现结果。

如需了解独立的 Mandiant Attack Surface Management 产品与 Security Command Center 中的 Mandiant Attack Surface Management 集成有何不同，请参阅 Mandiant 文档门户中的 ASM 和 Security Command Center。此链接需要 Mandiant 身份验证。

在控制台中查看 Mandiant Attack Surface Management 的发现

Google Cloud 控制台

在 Google Cloud 控制台中，前往 Security Command Center 的发现结果页面。
前往“发现结果”页面
选择您的 Google Cloud 项目或组织。
在快速过滤条件部分的来源显示名称子部分中，选择 Mandiant Attack Surface Management。发现结果的查询结果会更新为仅显示此来源的发现结果。
如需查看特定发现结果的详细信息，请点击类别列中的发现结果名称。系统会打开发现结果的详细信息面板，并显示摘要标签页。
在摘要标签页上，查看发现结果的详细信息，包括有关检测到的内容、受影响的资源的信息，以及您可以采取的发现结果修复步骤（如果有）。
可选：如需查看发现结果的完整 JSON 定义，请点击 JSON 标签页。

安全运维控制台

在 Security Operations 控制台中，前往发现结果页面。
```
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
```
将 CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。
在汇总部分中，点击以展开来源显示名称子部分。
选择 Mandiant Attack Surface Management。发现结果的查询结果会更新为仅显示此来源的发现结果。
如需查看特定发现结果的详细信息，请点击类别列中的发现结果名称。系统会打开发现结果的详细信息面板，并显示摘要标签页。
在摘要标签页上，查看发现结果的详细信息，包括有关检测到的内容、受影响的资源的信息，以及您可以采取的发现结果修复步骤（如果有）。
可选：如需查看发现结果的完整 JSON 定义，请点击 JSON 标签页。

Policy Controller

Policy Controller 支持为 Kubernetes 集群应用并强制执行可编程政策。这些政策充当安全措施，有助于实现集群和舰队的最佳实践、安全性和合规性管理。

如果您安装 Policy Controller，并且启用 CIS Kubernetes 基准 v1.5.1 和/或 PCI-DSS v3.2.1 Policy Controller 包，则 Policy Controller 会自动将集群违规行为作为 Misconfiguration 类发现结果写入 Security Command Center。Security Command Center 发现结果中的发现结果说明和后续步骤与相应 Policy Controller 软件包的限制条件说明和补救步骤相同。

Policy Controller 发现结果来自以下 Policy Controller 包：

CIS Kubernetes 基准 v1.5.1：一组用于配置 Kubernetes 以支持可靠的安全状况的建议。您还可以在 cis-k8s-v1.5.1 的 GitHub 代码库中查看有关此包的信息。
PCI-DSS v3.2.1：根据支付卡行业数据安全标准 (PCI-DSS) v3.2.1 的某些方面评估集群资源合规性的一个包。您还可以在 pci-dss-v3 的 GitHub 代码库中查看有关此包的信息。

如需查找和修复 Policy Controller 发现结果，请参阅修复 Policy Controller 发现结果。

风险引擎

Security Command Center 风险引擎会评估云部署的风险暴露情况，为漏洞发现结果和高价值资源分配攻击风险得分，并绘制潜在攻击者访问高价值资源时可能采取的路径。

在 Security Command Center 的企业版中，风险引擎会检测一组安全问题。如果这些问题以特定模式同时出现，就会形成通往您的一个或多个高价值资源的路径，而有决心的攻击者可能会利用这些路径来访问和破坏这些资源。

当风险引擎检测到其中一种组合时，就会发出 TOXIC_COMBINATION 类发现结果。在相应发现结果中，风险引擎会被列为发现结果的来源。

如需了解详情，请参阅有毒组合概览。

Security Health Analytics

Security Health Analytics 是 Security Command Center 的一项内置检测服务，可对您的云资源进行管理式扫描，以检测常见的配置错误。

检测到配置错误时，Security Health Analytics 会发出相应发现结果。大多数 Security Health Analytics 发现结果都与安全标准控制项相关联，以便您评估合规性。

Security Health Analytics 会扫描您在 Google Cloud 上的资源。如果您使用的是企业版，并建立了与其他云平台的连接，Security Health Analytics 还可以扫描您在这些云平台上的资源。

可用的检测器因您使用的 Security Command Center 服务层级而异：

在标准层级中，Security Health Analytics 仅包含一组基本的中等和高严重级别漏洞检测器。
高级层级包含适用于 Google Cloud 的所有漏洞检测器。
企业层级包含适用于其他云平台的额外检测器。

激活 Security Command Center 后，系统会自动启用 Security Health Analytics。

如需了解详情，请参阅以下主题：

安全状况服务

安全状况服务是 Security Command Center 付费级别的一项内置服务，可让您定义、评估和监控 Google Cloud 中的整体安全状态。该报告会提供有关您的环境与您在安全状况中定义的政策的一致性的信息。

安全状况服务与 GKE 安全状况信息中心无关，后者仅显示 GKE 集群中的发现结果。

安全状况服务发现结果

正在查找摘要

正在查找	摘要
`SHA Canned Module Drifted` API 中的类别名称：`SECURITY_POSTURE_DETECTOR_DRIFT`	发现结果说明：安全状况服务检测到 Security Health Analytics 检测器在状况更新之外发生了更改。价格层级：付费方案修正此发现结果：若要解决此问题，您需要接受或还原更改，以便您的状态和环境中的检测器设置保持一致。您可以通过以下两种方式解决此问题：更新 Security Health Analytics 检测器，或更新状态和状态部署。如需还原更改，请在 Google Cloud 控制台中更新 Security Health Analytics 检测器。如需了解相关说明，请参阅启用和停用检测器。如需接受更改，请完成以下操作：使用更改更新 `posture.yaml` 文件。运行 `gcloud scc postures update` 命令。如需了解相关说明，请参阅更新状态中的政策定义。使用新的修订 ID 部署更新后的状态。如需了解相关说明，请参阅更新态势部署。
`SHA Custom Module Drifted` API 中的类别名称：`SECURITY_POSTURE_DETECTOR_DRIFT`	发现结果说明：安全状况服务检测到 Security Health Analytics 自定义模块在安全状况更新之外发生了更改。价格层级：付费方案修正此发现结果：若要解决此问题，您需要接受或还原更改，以便您的状态和环境中的自定义模块设置保持一致。您可以通过以下两种方式解决此问题：更新 Security Health Analytics 自定义模块，或更新状态和状态部署。如需还原更改，请在 Google Cloud 控制台中更新 Security Health Analytics 自定义模块。有关说明，请参阅更新自定义模块。如需接受更改，请完成以下操作：使用更改更新 `posture.yaml` 文件。运行 `gcloud scc postures update` 命令。如需了解相关说明，请参阅更新状态中的政策定义。使用新的修订 ID 部署更新后的状态。如需了解相关说明，请参阅更新态势部署。
`SHA Custom Module Deleted` API 中的类别名称：`SECURITY_POSTURE_DETECTOR_DELETE`	发现结果说明：安全状况服务检测到 Security Health Analytics 自定义模块已被删除。此删除操作发生在设备状态更新之外。价格层级：付费方案修正此发现结果：若要解决此问题，您需要接受或还原更改，以便您的状态和环境中的自定义模块设置保持一致。您可以通过以下两种方式解决此问题：更新 Security Health Analytics 自定义模块，或更新状态和状态部署。如需还原更改，请在 Google Cloud 控制台中更新 Security Health Analytics 自定义模块。有关说明，请参阅更新自定义模块。如需接受更改，请完成以下操作：使用更改更新 `posture.yaml` 文件。运行 `gcloud scc postures update` 命令。如需了解相关说明，请参阅更新状态中的政策定义。使用新的修订 ID 部署更新后的状态。如需了解相关说明，请参阅更新态势部署。
`Org Policy Canned Constraint Drifted` API 中的类别名称：`SECURITY_POSTURE_POLICY_DRIFT`	发现结果说明：安全状况服务检测到组织政策在状况更新之外发生了更改。价格层级：付费方案修正此发现结果：您需要接受或还原此更改，以便您的状态和环境中的组织政策定义保持一致。您可以通过以下两种方式解决此问题：更新组织政策，或更新状态和状态部署。如需还原更改，请在 Google Cloud 控制台中更新组织政策。如需了解相关说明，请参阅创建和修改政策。如需接受更改，请完成以下操作：使用更改更新 `posture.yaml` 文件。运行 `gcloud scc postures update` 命令。如需了解相关说明，请参阅更新状态中的政策定义。使用新的修订 ID 部署更新后的状态。如需了解相关说明，请参阅更新态势部署。
`Org Policy Canned Constraint Deleted` API 中的类别名称：`SECURITY_POSTURE_POLICY_DELETE`	发现结果说明：安全状况服务检测到某个组织政策已被删除。此删除操作发生在设备状态更新之外。价格层级：付费方案修正此发现结果：您需要接受或还原此更改，以便您的状态和环境中的组织政策定义保持一致。您可以通过以下两种方式解决此问题：更新组织政策，或更新状态和状态部署。如需还原更改，请在 Google Cloud 控制台中更新组织政策。如需了解相关说明，请参阅创建和修改政策。如需接受更改，请完成以下操作：使用更改更新 `posture.yaml` 文件。运行 `gcloud scc postures update` 命令。如需了解相关说明，请参阅更新状态中的政策定义。使用新的修订 ID 部署更新后的状态。如需了解相关说明，请参阅更新态势部署。
`Org Policy Custom Constraint Drifted` API 中的类别名称：`SECURITY_POSTURE_POLICY_DRIFT`	发现结果说明：安全状况服务检测到自定义组织政策在状况更新之外发生了更改。价格层级：付费方案修正此发现结果：若要解决此问题，您需要接受或还原更改，以便您的状态和环境中的自定义组织政策定义保持一致。您可以通过以下两种方式解决此问题：更新自定义组织政策，或更新状态和状态部署。如需还原更改，请在 Google Cloud 控制台中更新自定义组织政策。有关说明，请参阅更新自定义限制条件。如需接受更改，请完成以下操作：使用更改更新 `posture.yaml` 文件。运行 `gcloud scc postures update` 命令。如需了解相关说明，请参阅更新状态中的政策定义。使用新的修订 ID 部署更新后的状态。如需了解相关说明，请参阅更新态势部署。
`Org Policy Custom Constraint Deleted` API 中的类别名称：`SECURITY_POSTURE_POLICY_DELETE`	发现结果说明：安全状况服务检测到自定义组织政策已被删除。此删除操作发生在设备状态更新之外。价格层级：付费方案修正此发现结果：若要解决此问题，您需要接受或还原更改，以便您的状态和环境中的自定义组织政策定义保持一致。您可以通过以下两种方式解决此问题：更新自定义组织政策，或更新状态和状态部署。如需还原更改，请在 Google Cloud 控制台中更新自定义组织政策。有关说明，请参阅更新自定义限制条件。如需接受更改，请完成以下操作：使用更改更新 `posture.yaml` 文件。运行 `gcloud scc postures update` 命令。如需了解相关说明，请参阅更新状态中的政策定义。使用新的修订 ID 部署更新后的状态。如需了解相关说明，请参阅更新态势部署。

SHA Canned Module Drifted

API 中的类别名称：SECURITY_POSTURE_DETECTOR_DRIFT

发现结果说明：安全状况服务检测到 Security Health Analytics 检测器在状况更新之外发生了更改。

价格层级：付费方案

修正此发现结果 ：

若要解决此问题，您需要接受或还原更改，以便您的状态和环境中的检测器设置保持一致。您可以通过以下两种方式解决此问题：更新 Security Health Analytics 检测器，或更新状态和状态部署。

如需还原更改，请在 Google Cloud 控制台中更新 Security Health Analytics 检测器。如需了解相关说明，请参阅启用和停用检测器。

如需接受更改，请完成以下操作：

使用更改更新 posture.yaml 文件。
运行 gcloud scc postures update 命令。如需了解相关说明，请参阅更新状态中的政策定义。
使用新的修订 ID 部署更新后的状态。如需了解相关说明，请参阅更新态势部署。

SHA Custom Module Drifted

API 中的类别名称：SECURITY_POSTURE_DETECTOR_DRIFT

发现结果说明：安全状况服务检测到 Security Health Analytics 自定义模块在安全状况更新之外发生了更改。

价格层级：付费方案

修正此发现结果 ：

若要解决此问题，您需要接受或还原更改，以便您的状态和环境中的自定义模块设置保持一致。您可以通过以下两种方式解决此问题：更新 Security Health Analytics 自定义模块，或更新状态和状态部署。

如需还原更改，请在 Google Cloud 控制台中更新 Security Health Analytics 自定义模块。有关说明，请参阅更新自定义模块。

如需接受更改，请完成以下操作：

使用更改更新 posture.yaml 文件。
运行 gcloud scc postures update 命令。如需了解相关说明，请参阅更新状态中的政策定义。
使用新的修订 ID 部署更新后的状态。如需了解相关说明，请参阅更新态势部署。

SHA Custom Module Deleted

API 中的类别名称：SECURITY_POSTURE_DETECTOR_DELETE

发现结果说明：安全状况服务检测到 Security Health Analytics 自定义模块已被删除。此删除操作发生在设备状态更新之外。

价格层级：付费方案

修正此发现结果 ：

如需还原更改，请在 Google Cloud 控制台中更新 Security Health Analytics 自定义模块。有关说明，请参阅更新自定义模块。

如需接受更改，请完成以下操作：

使用更改更新 posture.yaml 文件。
运行 gcloud scc postures update 命令。如需了解相关说明，请参阅更新状态中的政策定义。
使用新的修订 ID 部署更新后的状态。如需了解相关说明，请参阅更新态势部署。

Org Policy Canned Constraint Drifted

API 中的类别名称：SECURITY_POSTURE_POLICY_DRIFT

发现结果说明：安全状况服务检测到组织政策在状况更新之外发生了更改。

价格层级：付费方案

修正此发现结果 ：

您需要接受或还原此更改，以便您的状态和环境中的组织政策定义保持一致。您可以通过以下两种方式解决此问题：更新组织政策，或更新状态和状态部署。

如需还原更改，请在 Google Cloud 控制台中更新组织政策。如需了解相关说明，请参阅创建和修改政策。

如需接受更改，请完成以下操作：

使用更改更新 posture.yaml 文件。
运行 gcloud scc postures update 命令。如需了解相关说明，请参阅更新状态中的政策定义。
使用新的修订 ID 部署更新后的状态。如需了解相关说明，请参阅更新态势部署。

Org Policy Canned Constraint Deleted

API 中的类别名称：SECURITY_POSTURE_POLICY_DELETE

发现结果说明：安全状况服务检测到某个组织政策已被删除。此删除操作发生在设备状态更新之外。

价格层级：付费方案

修正此发现结果 ：

如需还原更改，请在 Google Cloud 控制台中更新组织政策。如需了解相关说明，请参阅创建和修改政策。

如需接受更改，请完成以下操作：

使用更改更新 posture.yaml 文件。
运行 gcloud scc postures update 命令。如需了解相关说明，请参阅更新状态中的政策定义。
使用新的修订 ID 部署更新后的状态。如需了解相关说明，请参阅更新态势部署。

Org Policy Custom Constraint Drifted

API 中的类别名称：SECURITY_POSTURE_POLICY_DRIFT

发现结果说明：安全状况服务检测到自定义组织政策在状况更新之外发生了更改。

价格层级：付费方案

修正此发现结果 ：

若要解决此问题，您需要接受或还原更改，以便您的状态和环境中的自定义组织政策定义保持一致。您可以通过以下两种方式解决此问题：更新自定义组织政策，或更新状态和状态部署。

如需还原更改，请在 Google Cloud 控制台中更新自定义组织政策。有关说明，请参阅更新自定义限制条件。

如需接受更改，请完成以下操作：

使用更改更新 posture.yaml 文件。
运行 gcloud scc postures update 命令。如需了解相关说明，请参阅更新状态中的政策定义。
使用新的修订 ID 部署更新后的状态。如需了解相关说明，请参阅更新态势部署。

Org Policy Custom Constraint Deleted

API 中的类别名称：SECURITY_POSTURE_POLICY_DELETE

发现结果说明：安全状况服务检测到自定义组织政策已被删除。此删除操作发生在设备状态更新之外。

价格层级：付费方案

修正此发现结果 ：

如需还原更改，请在 Google Cloud 控制台中更新自定义组织政策。有关说明，请参阅更新自定义限制条件。

如需接受更改，请完成以下操作：

使用更改更新 posture.yaml 文件。
运行 gcloud scc postures update 命令。如需了解相关说明，请参阅更新状态中的政策定义。
使用新的修订 ID 部署更新后的状态。如需了解相关说明，请参阅更新态势部署。

敏感数据保护

敏感数据保护是一项全代管式 Google Cloud 服务，可帮助您发现、分类和保护敏感数据。您可以使用敏感数据保护来确定您是否存储了敏感数据或个人身份信息 (PII)，例如以下信息：

用户姓名
信用卡号
全国或州级身份证号码
健康保险 ID 编号
密钥

在敏感数据保护中，您搜索的每种敏感数据类型称为 infoType。

如果您配置敏感数据保护操作以将结果发送到 Security Command Center，则除了“敏感数据保护”部分之外，您还可以直接在 Google Cloud 控制台的 Security Command Center 部分中查看发现结果。

敏感数据保护发现服务中的漏洞发现结果

Sensitive Data Protection 发现服务可帮助您确定是否存储了未受保护的高度敏感数据。

类别摘要

类别	摘要
`Public sensitive data` API 中的类别名称： `PUBLIC_SENSITIVE_DATA`	发现结果说明：指定资源包含高敏感度数据，互联网上的任何人都可以访问这些数据。支持的资源： `bigquery.googleapis.com/Dataset` `sqladmin.googleapis.com/Instance` `storage.googleapis.com/Bucket` Amazon S3 存储桶补救措施：对于 Google Cloud 数据，请从数据资产的 IAM 政策中移除 `allUsers` 和 `allAuthenticatedUsers`。对于 Amazon S3 数据，请配置“禁止公开访问”设置或更新对象的 ACL 以拒绝公开读取权限。合规性标准：未映射
`Secrets in environment variables` API 中的类别名称： `SECRETS_IN_ENVIRONMENT_VARIABLES`	发现结果说明：环境变量中存在密钥（例如密码、身份验证令牌和 Google Cloud 凭据）。如需启用此检测器，请参阅敏感数据保护文档中的向 Security Command Center 报告环境变量中的 Secret。支持的资源： `cloudfunctions.googleapis.com/CloudFunction` `run.googleapis.com/Revision` 补救措施：对于 Cloud Run 函数环境变量，请从环境变量中移除 Secret，并改为将其存储在 Secret Manager 中。对于 Cloud Run 服务修订版本环境变量，请将所有流量从该修订版本移出，然后删除该修订版本。合规性标准： CIS GCP Foundation 1.3：1.18 CIS GCP Foundation 2.0：1.18
`Secrets in storage` API 中的类别名称： `SECRETS_IN_STORAGE`	发现结果说明：指定资源中存在密钥（例如密码、身份验证令牌和云凭据）。支持的资源： `bigquery.googleapis.com/Dataset` `sqladmin.googleapis.com/Instance` `storage.googleapis.com/Bucket` Amazon S3 存储桶补救措施：对于 Google Cloud 数据，请使用 Sensitive Data Protection 对指定资源运行深度检查扫描，以识别所有受影响的资源。对于 Cloud SQL 数据，请将这些数据导出到 Cloud Storage 存储桶中的 CSV 或 Avro 文件，然后对该存储桶运行深度检查扫描。对于 Amazon S3 数据，请手动检查指定的存储桶。移除检测到的密钥。请考虑重置凭据。对于 Google Cloud 数据，不妨改为将检测到的 Secret 存储在 Secret Manager 中。合规性标准：未映射

Public sensitive data

API 中的类别名称：

PUBLIC_SENSITIVE_DATA

发现结果说明：指定资源包含高敏感度数据，互联网上的任何人都可以访问这些数据。

支持的资源：

bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Amazon S3 存储桶

补救措施：

对于 Google Cloud 数据，请从数据资产的 IAM 政策中移除 allUsers 和 allAuthenticatedUsers。

对于 Amazon S3 数据，请配置“禁止公开访问”设置或更新对象的 ACL 以拒绝公开读取权限。

合规性标准：未映射

Secrets in environment variables

API 中的类别名称：

SECRETS_IN_ENVIRONMENT_VARIABLES

发现结果说明：环境变量中存在密钥（例如密码、身份验证令牌和 Google Cloud 凭据）。

如需启用此检测器，请参阅敏感数据保护文档中的向 Security Command Center 报告环境变量中的 Secret。

支持的资源：

补救措施：

对于 Cloud Run 函数环境变量，请从环境变量中移除 Secret，并改为将其存储在 Secret Manager 中。

对于 Cloud Run 服务修订版本环境变量，请将所有流量从该修订版本移出，然后删除该修订版本。

合规性标准：

CIS GCP Foundation 1.3：1.18
CIS GCP Foundation 2.0：1.18

Secrets in storage

API 中的类别名称：

SECRETS_IN_STORAGE

发现结果说明：指定资源中存在密钥（例如密码、身份验证令牌和云凭据）。

支持的资源：

bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
Amazon S3 存储桶

补救措施：

对于 Google Cloud 数据，请使用 Sensitive Data Protection 对指定资源运行深度检查扫描，以识别所有受影响的资源。对于 Cloud SQL 数据，请将这些数据导出到 Cloud Storage 存储桶中的 CSV 或 Avro 文件，然后对该存储桶运行深度检查扫描。

对于 Amazon S3 数据，请手动检查指定的存储桶。
移除检测到的密钥。
请考虑重置凭据。
对于 Google Cloud 数据，不妨改为将检测到的 Secret 存储在 Secret Manager 中。

合规性标准：未映射

敏感数据保护中的观察发现结果

本部分介绍敏感数据保护在 Security Command Center 中生成的观察结果。

发现服务中的观察发现结果

敏感数据保护发现服务可帮助您确定您的数据是否包含特定的 infoType 以及它们在组织、文件夹和项目中的位置。它会在 Security Command Center 中生成以下观察结果类别：

Data sensitivity: 表示特定数据资产中数据的敏感度级别。如果数据包含个人身份信息或其他可能需要额外控制或管理的元素，则属于敏感数据。发现结果的严重程度是生成数据剖析文件时敏感数据保护计算的敏感度级别。
Data risk: 与当前状态下的数据关联的风险。在计算数据风险时，敏感数据保护功能会考虑数据资产中数据的敏感度级别以及是否存在用于保护这些数据的访问权限控制。发现结果的严重程度是生成数据剖析文件时敏感数据保护计算的数据风险级别。

从敏感数据保护生成数据分析文件之时起，相关发现结果最长可能需要 6 小时才能显示在 Security Command Center 中。

如需了解如何将数据剖析文件结果发送到 Security Command Center，请参阅以下内容：

对于 Security Command Center Enterprise：启用敏感数据发现。
对于 Security Command Center 专业版或标准版：将数据分析文件发布到 Security Command Center。

敏感数据保护检查服务中的观察发现结果

敏感数据保护检查作业可识别存储系统（如 Cloud Storage 存储桶或 BigQuery 表）中特定 infoType 的每个数据实例。例如，您可以运行检查作业，以搜索与 Cloud Storage 存储桶中的 CREDIT_CARD_NUMBER infoType 检测器匹配的所有字符串。

对于具有一个或多个匹配项的每个 infoType 检测器，敏感数据保护会生成相应的 Security Command Center 发现结果。发现结果类别是具有匹配项的 infoType 检测器的名称，例如 Credit card number。该发现结果包含在资源的文本或图片中检测到的匹配字符串的数量。

出于安全原因，发现结果中不包含检测到的实际字符串。例如，Credit card number 发现结果会显示找到的信用卡号数量，但不会显示实际的信用卡号。

由于敏感数据保护中有超过 150 个内置 infoType 检测器，因此此处未列出所有可能的 Security Command Center 发现结果类别。如需查看 infoType 检测器的完整列表，请参阅 InfoType 检测器参考文档。

如需了解如何将检查作业的结果发送到 Security Command Center，请参阅将敏感数据保护检查作业结果发送到 Security Command Center。

在控制台中查看敏感数据保护发现结果

Google Cloud 控制台

在 Google Cloud 控制台中，前往 Security Command Center 的发现结果页面。
前往“发现结果”页面
选择您的 Google Cloud 项目或组织。
在快速过滤条件部分的来源显示名称子部分中，选择敏感数据保护。发现结果的查询结果会更新为仅显示此来源的发现结果。
如需查看特定发现结果的详细信息，请点击类别列中的发现结果名称。系统会打开发现结果的详细信息面板，并显示摘要标签页。
在摘要标签页上，查看发现结果的详细信息，包括有关检测到的内容、受影响的资源的信息，以及您可以采取的发现结果修复步骤（如果有）。
可选：如需查看发现结果的完整 JSON 定义，请点击 JSON 标签页。

安全运维控制台

在 Security Operations 控制台中，前往发现结果页面。
```
https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
```
将 CUSTOMER_SUBDOMAIN 替换为您的客户专用标识符。
在汇总部分中，点击以展开来源显示名称子部分。
选择 Sensitive Data Protection。发现结果的查询结果会更新为仅显示此来源的发现结果。
如需查看特定发现结果的详细信息，请点击类别列中的发现结果名称。系统会打开发现结果的详细信息面板，并显示摘要标签页。
在摘要标签页上，查看发现结果的详细信息，包括有关检测到的内容、受影响的资源的信息，以及您可以采取的发现结果修复步骤（如果有）。
可选：如需查看发现结果的完整 JSON 定义，请点击 JSON 标签页。

虚拟机管理器

虚拟机管理器是一套工具，可用于管理在 Compute Engine 上运行 Windows 和 Linux 的大型虚拟机舰队的操作系统。

如需将虚拟机管理器与 Security Command Center 付费方案的项目级激活搭配使用，请在父级组织中激活 Security Command Center 标准方案。

如果您通过 Security Command Center 付费方案层级启用虚拟机管理器，则虚拟机管理器会自动将其漏洞报告（预览版）中的 high 和 critical 发现结果写入 Security Command Center。这些报告可识别虚拟机上安装的操作系统 (OS) 中的漏洞，包括常见漏洞和披露 (CVE)。

Security Command Center 标准方案不提供漏洞报告。

发现结果可以简化使用虚拟机管理器的补丁程序合规性功能（预览版）的过程。通过此功能，您可以在组织级层为所有项目执行补丁程序管理。虚拟机管理器支持单个项目级层的补丁管理。

如需修复虚拟机管理器发现结果，请参阅修复虚拟机管理器发现结果。

如需阻止将漏洞报告写入 Security Command Center，请参阅忽略 VM 管理器发现结果。

此类漏洞均与受支持的 Compute Engine 虚拟机中已安装的操作系统软件包相关。

检测器摘要资源扫描设置

检测器	摘要	资源扫描设置
`OS vulnerability` API 中的类别名称：`OS_VULNERABILITY`	发现说明：虚拟机管理器在 Compute Engine 虚拟机的安装操作系统 (OS) 软件包中检测到漏洞。价格层级：付费方案支持的资源 compute.googleapis.com/Instance 修正此发现结果	虚拟机管理器的漏洞报告详细介绍 Compute Engine 虚拟机已安装的操作系统软件包中的漏洞，包括常见漏洞和披露 (CVE)。如需查看受支持的操作系统的完整列表，请参阅操作系统详细信息。发现漏洞后，系统会立即在 Security Command Center 中显示发现结果。系统会按以下方式在虚拟机管理器中生成漏洞报告：在虚拟机的操作系统中安装或更新软件包后，您应该会在进行更改后的两小时内，在 Security Command Center 中看到针对虚拟机的常见漏洞和披露 (CVE) 信息。为操作系统发布新的安全公告后，更新后的 CVE 通常会在操作系统供应商发布公告后的 24 小时内提供。

OS vulnerability

API 中的类别名称：OS_VULNERABILITY

发现说明：虚拟机管理器在 Compute Engine 虚拟机的安装操作系统 (OS) 软件包中检测到漏洞。

价格层级：付费方案

支持的资源

compute.googleapis.com/Instance

修正此发现结果

虚拟机管理器的漏洞报告详细介绍 Compute Engine 虚拟机已安装的操作系统软件包中的漏洞，包括常见漏洞和披露 (CVE)。

如需查看受支持的操作系统的完整列表，请参阅操作系统详细信息。

发现漏洞后，系统会立即在 Security Command Center 中显示发现结果。系统会按以下方式在虚拟机管理器中生成漏洞报告：

在虚拟机的操作系统中安装或更新软件包后，您应该会在进行更改后的两小时内，在 Security Command Center 中看到针对虚拟机的常见漏洞和披露 (CVE) 信息。
为操作系统发布新的安全公告后，更新后的 CVE 通常会在操作系统供应商发布公告后的 24 小时内提供。

AWS 漏洞评估

Amazon Web Services (AWS) 漏洞评估服务可检测在 AWS 云平台上 EC2 虚拟机 (VM) 上运行的工作负载中的软件漏洞。

对于每个检测到的漏洞，AWS 漏洞评估都会在 Security Command Center 的 Software vulnerability 发现结果类别中生成 Vulnerability 类发现结果。

AWS 漏洞评估服务会扫描正在运行的 EC2 机器实例的快照，因此生产工作负载不会受到影响。由于扫描目标中未安装任何代理，因此此扫描方法称为无代理磁盘扫描。

详情请参阅以下内容：

Web Security Scanner

Web Security Scanner 为公共 App Engine、GKE 和 Compute Engine 服务的 Web 应用提供代管式和自定义的 Web 漏洞扫描。

代管式扫描

Web Security Scanner 代管式扫描由 Security Command Center 配置和管理。每周自动运行代管式扫描，以检测和扫描公共 Web 端点。这些扫描不使用身份验证，而是发送仅限 GET 的请求，因此他们无需在实际网站上提交任何表单。

代管式扫描与自定义扫描分开运行。

如果在组织级层激活 Security Command Center，您可以使用代管式扫描来集中管理组织中项目的基本 Web 应用漏洞检测，而不需要各个项目团队参与。发现结果后，您可以与这些团队合作，以设置更全面的自定义扫描。

启用 Web Security Scanner 作为服务后，Security Command Center 漏洞页面和相关报告会自动显示代管式扫描发现结果。如需了解如何启用 Web Security Scanner 代管式扫描，请参阅配置 Security Command Center 服务。

托管式扫描仅支持使用默认端口的应用，HTTP 连接的默认端口为 80，HTTPS 连接的默认端口为 443。如果您的应用使用非默认端口，请改为执行自定义扫描。

自定义扫描

Web Security Scanner 自定义扫描可提供有关应用漏洞发现结果的详细信息，例如过时的库、跨站脚本攻击或混合内容的使用。

您需要在项目级层定义自定义扫描。

完成设置 Web Security Scanner 自定义扫描的指南后，在 Security Command Center 中可获取自定义扫描发现结果。

检测器与合规性

Web Security Scanner 支持 OWASP 十大类别中的类别，该文档根据开 Web 应用安全项目 (OWASP) 对前 10 个最重要的 Web 应用安全风险进行排名并提供补救指南。如需查看如何缓解 OWASP 风险的指导信息，请参阅 Google Cloud 上的 OWASP 十大缓解选项。

合规性映射仅供参考，并非由 OWASP 基金会提供或审核。

此功能仅用于监控合规性控制的违规行为。您不应将提供的映射作为针对产品或服务的监管、行业基准或标准合规性的审计、认证或报告的基础或替代方案。

Web Security Scanner 自定义和代管式扫描可识别以下发现结果类型。在标准层级中，Web Security Scanner 支持对公共网址和 IP 不受防火墙保护的已部署应用进行自定义扫描。

类别	发现结果说明	OWASP 2017 年排名前 10	OWASP 2021 年排名前 10
`Accessible Git repository` API 中的类别名称：`ACCESSIBLE_GIT_REPOSITORY`	Git 代码库被公开。如需解决此发现结果，请移除对 Git 代码库的意外公开访问权限。价格层级：付费方案或标准方案修正此发现结果	A5	A01
`Accessible SVN repository` API 中的类别名称：`ACCESSIBLE_SVN_REPOSITORY`	SVN 代码库会公开。如需解决此发现结果，请移除对 SVN 代码库的意外公开访问权限。价格层级：付费方案或标准方案修正此发现结果	A5	A01
`Cacheable password input` API 中的类别名称：`CACHEABLE_PASSWORD_INPUT`	在 Web 应用中输入的密码可以缓存在常规浏览器的缓存中，而不是安全的密码存储空间中。价格层级：付费方案修正此发现结果	A3	A04
`Clear text password` API 中的类别名称：`CLEAR_TEXT_PASSWORD`	密码以明文形式传输，可以被拦截。要解决此发现结果，请对通过网络传输的密码进行加密。价格层级：付费方案或标准方案修正此发现结果	A3	A02
`Insecure allow origin ends with validation` API 中的类别名称：`INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION`	跨站点 HTTP 或 HTTPS 端点仅验证 `Origin` 请求标头的后缀，然后将其呈现在 `Access-Control-Allow-Origin` 响应标头内。若要解决此问题，请先验证预期的根网域是否是 `Origin` 标头值的一部分，然后再将其反映在 `Access-Control-Allow-Origin` 响应标头中。对于子网域通配符，请在根域名前面附加英文句点，例如 `.endsWith(".google.com")`。价格层级：付费方案修正此发现结果	A5	A01
`Insecure allow origin starts with validation` API 中的类别名称：`INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION`	跨站点 HTTP 或 HTTPS 端点仅验证 `Origin` 请求标头的前缀，然后将其呈现在 `Access-Control-Allow-Origin` 响应标头内。如需解决此发现结果，请先验证预期网域是否与 `Origin` 标头值完全匹配，然后再将其呈现在 `Access-Control-Allow-Origin` 响应标头内，例如 `.equals(".google.com")`。价格层级：付费方案修正此发现结果	A5	A01
`Invalid content type` API 中的类别名称：`INVALID_CONTENT_TYPE`	加载的资源与响应的 Content-Type HTTP 标头不匹配。如需解决此发现结果，请使用正确的值设置 `X-Content-Type-Options` HTTP 标头。价格层级：付费方案或标准方案修正此发现结果	A6	A05
`Invalid header` API 中的类别名称：`INVALID_HEADER`	安全标头存在语法错误，因此被浏览器忽略。要解决此发现结果，请正确设置 HTTP 安全标头。价格层级：付费方案或标准方案修正此发现结果	A6	A05
`Mismatching security header values` API 中的类别名称：`MISMATCHING_SECURITY_HEADER_VALUES`	安全标头具有重复的、不匹配的值，这会导致未定义的行为。要解决此发现结果，请正确设置 HTTP 安全标头。价格层级：付费方案或标准方案修正此发现结果	A6	A05
`Misspelled security header name` API 中的类别名称：`MISSPELLED_SECURITY_HEADER_NAME`	安全标头拼写错误并且被忽略。要解决此发现结果，请正确设置 HTTP 安全标头。价格层级：付费方案或标准方案修正此发现结果	A6	A05
`Mixed content` API 中的类别名称：`MIXED_CONTENT`	资源是通过 HTTPS 页面上的 HTTP 提供的。要解决此发现结果，请确保所有资源通过 HTTPS 传送。价格层级：付费方案或标准方案修正此发现结果	A6	A05
`Outdated library` API 中的类别名称：`OUTDATED_LIBRARY`	检测到有已知漏洞的库。要解决此发现结果，请将库升级到新版本。价格层级：付费方案或标准方案修正此发现结果	A9	A06
`Server side request forgery` API 中的类别名称：`SERVER_SIDE_REQUEST_FORGERY`	检测到服务器端请求伪造 (SSRF) 漏洞。要解决此发现结果，请使用许可名单限制 Web 应用可以向其发出请求的网域和 IP 地址。价格层级：付费方案或标准方案修正此发现结果	不适用	A10
`Session ID leak` API 中的类别名称：`SESSION_ID_LEAK`	在发出跨网域的请求时，Web 应用的 `Referer` 请求标头中包含用户的会话标识符。此漏洞会向接收网域授予会话标识符的访问权限，可用于假冒或唯一标识用户。价格层级：付费方案修正此发现结果	A2	A07
`SQL injection` API 中的类别名称：`SQL_INJECTION`	检测到潜在的 SQL 注入漏洞。如需解决此发现结果，请使用参数化查询以防止用户输入影响 SQL 查询的结构。价格层级：付费方案修正此发现结果	A1	A03
`Struts insecure deserialization` API 中的类别名称：`STRUTS_INSECURE_DESERIALIZATION`	检测到使用易受攻击的 Apache Struts 版本。如需解决此发现结果，请将 Apache Strut 升级到最新版本。价格层级：付费方案修正此发现结果	A8	A08
`XSS` API 中的类别名称：`XSS`	此 Web 应用中的字段容易受到跨站脚本 (XSS) 攻击。要解决此发现结果，请验证和转义不受信任的用户提供的数据。价格层级：付费方案或标准方案修正此发现结果	A7	A03
`XSS angular callback` API 中的类别名称：`XSS_ANGULAR_CALLBACK`	用户提供的字符串没有转义，并且 AngularJS 可以对其进行插入。要解决此发现结果，请验证和转义 Angular 框架处理的不受信任用户提供的数据。价格层级：付费方案或标准方案修正此发现结果	A7	A03
`XSS error` API 中的类别名称：`XSS_ERROR`	此 Web 应用中的字段容易受到跨站脚本攻击。要解决此发现结果，请验证和转义不受信任的用户提供的数据。价格层级：付费方案或标准方案修正此发现结果	A7	A03
`XXE reflected file leakage` API 中的类别名称：`XXE_REFLECTED_FILE_LEAKAGE`	检测到 XML 外部实体 (XXE) 漏洞。此漏洞可能会导致 Web 应用泄露主机上的文件。如需解决此发现结果，请配置 XML 解析器以禁止外部实体。价格层级：付费方案修正此发现结果	A4	A05
`Prototype pollution` API 中的类别名称：`PROTOTYPE_POLLUTION`	该应用容易受到原型污染的影响。如果可以为 `Object.prototype` 对象的属性分配攻击者可控制的值，就会出现此漏洞。在这些原型上植入的值普遍被认为会转换为跨站脚本攻击，或类似的客户端漏洞以及逻辑 bug。价格层级：付费方案或标准方案修正此发现结果	A1	A03

威胁检测服务

威胁检测服务包括内置服务和集成服务，可检测可能表明潜在有害事件的事件，例如遭到入侵的资源或网络攻击。

异常值检测

异常检测是一项内置服务，使用了来自系统外部的行为信号。它会显示针对您的项目和虚拟机 (VM) 实例检测到的安全异常的详细信息，例如可能泄露的凭据。激活 Security Command Center 标准方案或付费方案层级后，系统会自动启用异常检测功能，您可以在 Google Cloud 控制台中获取发现结果。

异常值检测发现结果包括：

异常名称发现结果类别说明

异常名称	发现结果类别	说明
`Account has leaked credentials`	`account_has_leaked_credentials`	Google Cloud 服务账号的凭据意外在网站泄露或被破解。严重程度：严重

Account has leaked credentials

account_has_leaked_credentials

Google Cloud 服务账号的凭据意外在网站泄露或被破解。

严重程度：严重

账号的凭据已泄露

GitHub 通知 Security Command Center 用于提交的凭据似乎是 Google Cloud Identity and Access Management 服务账号的凭据。

通知中包含服务账号名称和私钥标识符。Google Cloud 还会向您的安全和隐私指定联系人发送电子邮件通知。

要解决此问题，请采取以下一项或多项措施：

确定密钥的合法用户。
轮替密钥。
移除密钥。
调查密钥泄露后密钥执行的所有操作，确保所有操作均不是恶意的。

JSON：发现账号凭据泄露

{
  "findings": {
    "access": {},
    "assetDisplayName": "PROJECT_NAME",
    "assetId": "organizations/ORGANIZATION_ID/assets/ASSET_ID",
    "canonicalName": "projects/PROJECT_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "category": "account_has_leaked_credentials",
    "contacts": {
      "security": {
        "contacts": [
          {
            "email": "EMAIL_ADDRESS"
          }
        ]
      }
    },
    "createTime": "2022-08-05T20:59:41.022Z",
    "database": {},
    "eventTime": "2022-08-05T20:59:40Z",
    "exfiltration": {},
    "findingClass": "THREAT",
    "findingProviderId": "organizations/ORGANIZATION_ID/firstPartyFindingProviders/cat",
    "indicator": {},
    "kubernetes": {},
    "mitreAttack": {},
    "mute": "UNDEFINED",
    "name": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID/findings/FINDING_ID",
    "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_INSTANCE_ID",
    "parentDisplayName": "Cloud Anomaly Detection",
    "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "severity": "CRITICAL",
    "sourceDisplayName": "Cloud Anomaly Detection",
    "state": "ACTIVE",
    "vulnerability": {},
    "workflowState": "NEW"
  },
  "resource": {
    "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "display_name": "PROJECT_NAME",
    "project_name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_ID",
    "project_display_name": "PROJECT_NAME",
    "parent_name": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
    "parent_display_name": "ORGANIZATION_NAME",
    "type": "google.cloud.resourcemanager.Project",
    "folders": []
  },
  "sourceProperties": {
    "project_identifier": "PROJECT_ID",
    "compromised_account": "SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com",
    "finding_type": "Potential compromise of a resource in your organization.",
    "summary_message": "We have detected leaked Service Account authentication credentials that could be potentially compromised.",
    "action_taken": "Notification sent",
    "private_key_identifier": "SERVICE_ACCOUNT_KEY_ID",
    "url": "https://github.com/KEY_FILE_PATH/KEY_FILE_NAME.json"
  }
}

Container Threat Detection

Container Threat Detection 可以检测最常见的容器运行时攻击，并在 Security Command Center 和 Cloud Logging（可选）中提醒您。Container Threat Detection 包括多个检测功能、一个分析工具和 API。

Container Threat Detection 检测插桩收集客机内核中的低级行为并对代码执行自然语言处理以检测以下事件：

Added Binary Executed
Added Library Loaded
Execution: Added Malicious Binary Executed
Execution: Added Malicious Library Loaded
Execution: Built in Malicious Binary Executed
Execution: Malicious Python executed
Execution: Modified Malicious Binary Executed
Execution: Modified Malicious Library Loaded
Malicious Script Executed
Malicious URL Observed
Reverse Shell
Unexpected Child Shell

详细了解 Container Threat Detection。

Event Threat Detection

Event Threat Detection 使用来自系统内部的日志数据。它会监控项目的 Cloud Logging 流，并在日志可用时使用这些日志。检测到威胁时，Event Threat Detection 会将发现结果写入 Security Command Center 和 Cloud Logging 项目中。激活 Security Command Center 付费方案层级后，系统会自动启用 Event Threat Detection，您可以在 Google Cloud 控制台中获取发现结果。

下表列出了 Event Threat Detection 的发现结果示例。

**表格 C.**Event Threat Detection 发现结果类型
数据销毁	Event Threat Detection 通过检查以下场景的备份和灾难恢复服务管理服务器的审核日志来检测数据销毁：删除备份映像删除与应用关联的所有备份映像删除备份/恢复设备
数据渗漏	Event Threat Detection 通过检查以下场景的审核日志来检测 BigQuery 和 Cloud SQL中的数据渗漏： BigQuery 资源保存在您的组织外部，或者尝试执行被 VPC Service Controls 阻止的复制操作。尝试访问受 VPC Service Controls 保护的 BigQuery 资源。 Cloud SQL 资源完全或部分导出到组织外部的 Cloud Storage 存储桶，或导出到您的组织拥有且可公开访问的存储桶。 Cloud SQL 备份会恢复到组织外部的 Cloud SQL 实例。您的组织拥有的 BigQuery 资源会导出到组织外部的 Cloud Storage 存储桶，或导出到组织中可公开访问的存储桶。贵组织拥有的 BigQuery 资源将导出到 Google 云端硬盘文件夹。 BigQuery 资源会保存到贵组织拥有的公共资源中。
Cloud SQL 可疑活动	Event Threat Detection 会检查审核日志，以检测可能表明 Cloud SQL 实例上的有效用户账号遭到入侵的以下事件：数据库用户将被授予 Cloud SQL for PostgreSQL 数据库或架构中的所有表、过程或函数的所有权限。使用 Cloud SQL 默认账号超级用户（PostgreSQL 实例上的“postgres”或 MySQL 实例上的“root”）写入非系统表。
AlloyDB for PostgreSQL 可疑活动	Event Threat Detection 会检查审核日志，以检测可能表明 AlloyDB for PostgreSQL 实例上的有效用户账号遭到入侵的以下事件：数据库用户将被授予 AlloyDB for PostgreSQL 数据库或架构中的所有表、过程或函数的所有权限。使用 AlloyDB for PostgreSQL 默认数据库账号超级用户（“postgres”）写入非系统表。
SSH 暴力破解	Event Threat Detection 会检查 syslog 日志以检查是否存在连续失败，然后会执行成功，从而检测密码身份验证 SSH 的暴力破解。
挖矿	Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志中与采矿池的已知不良网域或 IP 地址的连接，来检测虚拟货币挖矿恶意软件。
IAM 滥用行为	异常 IAM 授权：Event Threat Detection 会检测可能被视为异常情况的 IAM 授权，例如：将 gmail.com 用户添加到具有项目编辑者角色的政策。通过 Google Cloud 控制台邀请 gmail.com 用户成为项目所有者。授予敏感权限的服务账号。自定义角色授予敏感权限。从您的组织外部添加的服务账号。
禁止系统恢复	Event Threat Detection 可检测可能影响备份状况的 Backup and DR 异常更改，包括重大政策更改和移除关键 Backup and DR 组件。
Log4j	Event Threat Detection 会检测 Log4j 漏洞利用和活跃 Log4j 漏洞的可能尝试次数。
恶意软件	Event Threat Detection 通过检查 VPC 流日志和 Cloud DNS 日志来检查已知命令和控制网域和 IPs，从而检测恶意软件。
传出 DoS	Event Threat Detection 会检查 VPC 流日志以检测传出拒绝服务流量。
异常访问	Event Threat Detection 通过检查源自匿名代理 IP 地址（例如 Tor IP 地址）的 Google Cloud 服务修改来检测异常访问。
异常 IAM 行为	Event Threat Detection 通过检查以下场景的 Cloud Audit Logs 来检测异常 IAM 行为： IAM 用户和服务账号从异常的 IP 地址访问 Google Cloud。 IAM 服务账号从异常用户代理访问 Google Cloud。主账号和资源模拟 IAM 服务账号来访问 Google Cloud。
服务账号自行调查	Event Threat Detection 检测何时使用服务账号凭据来调查与同一服务账号关联的角色和权限。
Compute Engine 管理员添加了 SSH 密钥	Event Threat Detection 会检测已建立的实例（早于 1 周）上对 Compute Engine 实例元数据 SSH 密钥的修改。
Compute Engine Admin 添加了启动脚本	Event Threat Detection 会在已建立的实例上（早于 1 周）检测到 Compute Engine 实例元数据启动脚本值的修改。
可疑的账号活动	Event Threat Detection 通过检查异常账号活动的审核日志来检测 Google Workspace 账号的潜在入侵，包括泄露的密码和尝试的可疑登录。
受政府支持的攻击	Event Threat Detection 会检查 Google Workspace 审核日志，以检测政府支持的攻击者可能在何时尝试破解了用户账号或计算机。
单点登录 (SSO) 更改	Event Threat Detection 会检查 Google Workspace 审核日志，以检测何时停用 SSO 或更改 Google Workspace 管理员账号的设置。
两步验证	Event Threat Detection 会检查 Google Workspace 审核日志，以检测用户和管理员账号何时停用两步验证。
异常 API 行为	Event Threat Detection 通过检查主账号之前未见过的 Google Cloud 服务请求的 Cloud Audit Logs 来检测异常 API 行为。
防护规避	Event Threat Detection 通过检查以下场景的 Cloud Audit Logs 来检测防御规避：对现有 VPC Service Controls 边界的更改，这些更改会导致所提供的保护减少。使用 breakglass 标志替换 Binary Authorization 控制措施的工作负载的部署或更新。^预览
《发现》杂志	Event Threat Detection 检查以下场景的审核日志来检测发现操作：潜在恶意操作者尝试使用 `kubectl` 命令确定可以查询 GKE 中的哪些敏感对象。使用服务账号凭据来调查与同一服务账号关联的角色和权限。
初始访问	Event Threat Detection 通过检查以下场景的审核日志来检测初始访问操作：处于休眠状态用户管理的服务账号触发了操作。^预览版主账号尝试调用各种 Google Cloud 方法，但由于“权限被拒绝”错误而反复失败。^预览版
提升权限	Event Threat Detection 检查以下场景的审核日志来检测 GKE 中的提权：为了提升特权，潜在恶意操作者尝试使用 `PUT` 或 `PATCH` 请求修改敏感 `cluster-admin` 角色的 `ClusterRole`、`RoleBinding` 或 `ClusterRoleBinding` 基于角色的访问权限控制 (RBAC) 对象。潜在恶意操作者创建了 Kubernetes 控制平面证书签名请求 (CSR)，用于向其授予 `cluster-admin` 访问权限。为了提升特权，潜在恶意操作者尝试为 `cluster-admin` 角色创建新的 `RoleBinding` 或 `ClusterRoleBinding` 对象。潜在恶意操作者使用 `kubectl` 命令和被破解的引导凭据查询了证书签名请求 (CSR)。潜在恶意操作者创建了包含特权容器或具有提升特权功能的容器的 Pod。
Cloud IDS 检测	Cloud IDS 通过分析镜像数据包来检测第 7 层攻击，并在检测到可疑事件时触发 Event Threat Detection 发现结果。如需详细了解 Cloud IDS 检测，请参阅 Cloud IDS Logging 信息。^预览版
横向移动	Event Threat Detection 会检查 Cloud Audit Logs 中是否存在 Compute Engine 实例频繁分离和重新附加启动磁盘的情况，以检测潜在的已修改启动磁盘攻击。

详细了解 Event Threat Detection。

Google Cloud Armor

Google Cloud Armor 通过提供第 7 层过滤来帮助保护您的应用。Google Cloud Armor 会清除常见 Web 攻击或其他第 7 层属性的传入请求，以防止流量到达负载均衡后端服务或后端存储分区。

Google Cloud Armor 会将两个发现结果导出到 Security Command Center：

虚拟机威胁检测

Virtual Machine Threat Detection 是 Security Command Center 的一项内置服务，在企业版和高级版中提供。此服务会扫描 Compute Engine 实例，以检测在遭到破解的云环境中运行的潜在恶意应用，例如加密货币挖矿软件、内核模式 rootkit 和恶意软件。

VM Threat Detection 是 Security Command Center 威胁检测套件的一部分，旨在补充 Event Threat Detection 和 Container Threat Detection 的现有功能。

如需详细了解 VM Threat Detection，请参阅 VM Threat Detection 概览。

VM Threat Detection 威胁发现结果

VM Threat Detection 可以生成以下威胁发现结果。

加密货币挖矿威胁发现结果

VM Threat Detection 通过哈希匹配或 YARA 规则检测以下发现结果类别。

VM Threat Detection 加密货币挖矿威胁发现结果
类别	单元	说明
`Execution: Cryptocurrency Mining Hash Match`	`CRYPTOMINING_HASH`	将正在运行的程序的内存哈希与加密货币挖矿软件的已知内存哈希匹配。
`Execution: Cryptocurrency Mining YARA Rule`	`CRYPTOMINING_YARA`	匹配已知会由加密货币挖矿软件使用的内存模式，如工作证明常量。
`Execution: Cryptocurrency Mining Combined Detection`	`CRYPTOMINING_HASH` `CRYPTOMINING_YARA`	用于标识同时由 `CRYPTOMINING_HASH` 和 `CRYPTOMINING_YARA` 模块检测到的威胁。如需了解详情，请参阅合检测。

内核模式 rootkit 威胁发现结果

VM Threat Detection 会在运行时分析内核完整性，以检测恶意软件使用的常见规避技术。

KERNEL_MEMORY_TAMPERING 模块通过对虚拟机的内核代码和内核只读数据内存进行哈希比较来检测威胁。

KERNEL_INTEGRITY_TAMPERING 模块通过检查重要内核数据结构的完整性来检测威胁。

VM Threat Detection 内核模式 Rootkit 威胁发现结果
类别	单元	说明
Rootkit
`Defense Evasion: Rootkit`	`KERNEL_MEMORY_TAMPERING` `KERNEL_INTEGRITY_TAMPERING`	存在与已知内核模式根 kit 匹配的信号组合。如需接收此类别的发现结果，请确保已启用这两个模块。
内核内存篡改
`Defense Evasion: Unexpected kernel code modification`^预览版	`KERNEL_MEMORY_TAMPERING`	内核代码内存存在意外修改行为。
`Defense Evasion: Unexpected kernel read-only data modification`^预览版	`KERNEL_MEMORY_TAMPERING`	内核只读数据内存存在意外修改行为。
内核完整性篡改
`Defense Evasion: Unexpected ftrace handler`^预览版	`KERNEL_INTEGRITY_TAMPERING`	存在 `ftrace` 点，其中回调指向不在预期内核或模块代码范围内的区域。
`Defense Evasion: Unexpected interrupt handler`^预览版	`KERNEL_INTEGRITY_TAMPERING`	存在不在预期内核或模块代码区域的中断处理程序。
`Defense Evasion: Unexpected kernel modules`^预览版	`KERNEL_INTEGRITY_TAMPERING`	存在不在预期内核或模块代码区域的内核代码页面。
`Defense Evasion: Unexpected kprobe handler`^预览版	`KERNEL_INTEGRITY_TAMPERING`	存在 `kprobe` 点，其中回调指向不在预期内核或模块代码范围内的区域。
`Defense Evasion: Unexpected processes in runqueue`^预览版	`KERNEL_INTEGRITY_TAMPERING`	调度器运行队列中存在意外进程。此类进程位于运行队列中，但不在进程任务列表中。
`Defense Evasion: Unexpected system call handler`^预览版	`KERNEL_INTEGRITY_TAMPERING`	存在不在预期内核或模块代码区域的系统调用处理程序。

错误

错误检测器可帮助您检测配置中的错误，从而防止安全来源生成发现结果。错误发现结果由 Security Command Center 安全来源生成，且具有发现结果类 SCC errors。

意外操作

以下发现结果类别表示可能由意外操作导致的错误。

意外操作
类别名称	API 名称	摘要	严重程度
`API disabled`	`API_DISABLED`	发现结果说明：项目已停用所需的 API。已停用的服务无法将发现结果发送到 Security Command Center。价格层级：付费方案或标准方案支持的资产 cloudresourcemanager.googleapis.com/Project 批量扫描：每 60 小时修正此发现结果	严重
`Attack path simulation: no resource value configs match any resources`	`APS_NO_RESOURCE_VALUE_CONFIGS_MATCH_ANY_RESOURCES`	发现结果说明：资源值配置是为攻击路径模拟定义的，但它们与您环境中的任何资源实例都不匹配。模拟将改用默认的高价值资源集。此错误可能由以下任何原因造成：没有任何资源值配置与任何资源实例匹配。指定 `NONE` 的一个或多个资源值配置替换所有其他有效配置。所有定义的资源值配置都指定值 `NONE`。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Organizations 批量扫描：每次攻击路径模拟之前。修正此发现结果	严重
`Attack path simulation: resource value assignment limit exceeded`	`APS_RESOURCE_VALUE_ASSIGNMENT_LIMIT_EXCEEDED`	发现结果说明：在上一次攻击路径模拟中，高价值资源实例的数量（由资源值配置标识）超出了高价值资源集中 1,000 个资源实例的限制。因此，Security Command Center 从高价值资源集中排除了过多的实例。 Google Cloud 控制台的 `SCC Error` 发现结果中标识了匹配实例总数和从资源集中排除的实例总数。影响被排除资源实例的发现结果的攻击风险得分并不反映资源实例的高价值指定。价格层级：付费方案支持的资源 cloudresourcemanager.googleapis.com/Organizations 批量扫描：每次攻击路径模拟之前。修正此发现结果	高
`Container Threat Detection Image Pull Failure`	`KTD_IMAGE_PULL_FAILURE`	发现结果说明：无法为集群启用 Container Threat Detection，因为无法从 Container Registry 映像主机 `gcr.io` 拉取（下载）所需的容器映像。需要映像才能部署 Container Threat Detection 所需的 Container Threat Detection DaemonSet。尝试部署 Container Threat Detection DaemonSet 会导致以下错误： `Failed to pull image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": rpc error: code = NotFound desc = failed to pull and unpack image "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": failed to resolve reference "badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00": badurl.gcr.io/watcher-daemonset:ktd_release.watcher_20220831_RC00: not found` 价格层级：付费方案支持的资源 container.googleapis.com/Cluster 批量扫描：每 30 分钟修正此发现结果	严重
`Container Threat Detection Blocked By Admission Controller`	`KTD_BLOCKED_BY_ADMISSION_CONTROLLER`	发现结果说明：无法在 Kubernetes 集群上启用 Container Threat Detection。第三方准入控制器阻止部署 Container Threat Detection 所需的 Kubernetes DaemonSet 对象。在 Google Cloud 控制台中查看时，发现结果详细信息包括当 Container Threat Detection 尝试部署 Container Threat Detection DaemonSet 对象时 Google Kubernetes Engine 返回的错误消息。价格层级：付费方案支持的资源 container.googleapis.com/Cluster 批量扫描：每 30 分钟修正此发现结果	高
`Container Threat Detection service account missing permissions`	`KTD_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	发现结果说明：服务账号缺少 Container Threat Detection 所需的权限。Container Threat Detection 可能会停止运行，因为无法启用、升级或停用检测插桩。价格层级：付费方案支持的资产 cloudresourcemanager.googleapis.com/Project 批量扫描：每 30 分钟修正此发现结果	严重
`GKE service account missing permissions`	`GKE_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	发现结果说明：Container Threat Detection 无法为 Google Kubernetes Engine 集群生成发现结果，因为集群上的 GKE 默认服务账号缺少权限。这会阻止在集群上成功启用 Container Threat Detection。价格层级：付费方案支持的资源 container.googleapis.com/Cluster 批量扫描：每周修正此发现结果	高
`Misconfigured Cloud Logging Export`	`MISCONFIGURED_CLOUD_LOGGING_EXPORT`	发现结果说明：配置为持续导出到 Cloud Logging 的项目不可用。Security Command Center 无法将发现结果发送到 Logging。价格层级：付费方案支持的资产 cloudresourcemanager.googleapis.com/Organization 批量扫描：每 30 分钟修正此发现结果	高
`VPC Service Controls Restriction`	`VPC_SC_RESTRICTION`	发现结果说明：Security Health Analytics 无法为项目生成某些发现结果。该项目受服务边界保护，而 Security Command Center 服务账号无权访问该边界。价格层级：付费方案或标准方案支持的资产 cloudresourcemanager.googleapis.com/Project 批量扫描：每 6 小时修正此发现结果	高
`Security Command Center service account missing permissions`	`SCC_SERVICE_ACCOUNT_MISSING_PERMISSIONS`	发现结果说明：Security Command Center 服务账号缺少正常运行所需的权限。系统不会生成任何发现结果。价格层级：付费方案或标准方案支持的资源 cloudresourcemanager.googleapis.com/Organization cloudresourcemanager.googleapis.com/Project 批量扫描：每 30 分钟修正此发现结果	严重

如需了解详情，请参阅 Security Command Center 错误。

后续步骤

参阅 Security Command Center 概览，了解 Security Command Center 以及用例示例。
了解如何通过配置 Security Command Center 服务添加新的安全来源。