אמצעי בקרה לזיהוי

Last reviewed 2025-05-15 UTC

יכולות הזיהוי והמעקב של איומים מסופקות באמצעות שילוב של אמצעי אבטחה מובנים מ-Security Command Center ופתרונות בהתאמה אישית שמאפשרים לכם לזהות אירועי אבטחה ולהגיב להם.

רישום מרכזי ביומן לצורכי אבטחה וביקורת

תוכנית ה-Blueprint מגדירה יכולות רישום ביומן כדי לעקוב אחרי שינויים במשאבים שלכם ב- Google Cloud ולנתח אותם באמצעות יומנים שמצטברים בפרויקט יחיד.

בתרשים הבא אפשר לראות איך תוכנית ה-blueprint צוברת יומנים ממקורות שונים בפרויקטים שונים, ומעבירה אותם ל-sink ביומן מרכזי.

מבנה הרישום ביומן עבור example.com.

בתרשים מתוארים הנושאים הבאים:

פריטי ה-sink ביומן מוגדרים בצומת הארגון כדי לצבור יומנים מכל הפרויקטים בהיררכיית המשאבים.
כמה יומנים מוגדרים לשליחת יומנים שתואמים למסנן ליעדים שונים לצורך אחסון וניתוח.
פרויקט prj-c-logging מכיל את כל המשאבים לאחסון ולניתוח של יומנים.
אפשר גם להגדיר כלים נוספים לייצוא יומנים למערכת SIEM.

התוכנית משתמשת במקורות יומן שונים וכוללת את הרישומים האלה במסנן של sink ביומן, כדי שאפשר יהיה לייצא את הרישומים ליעד מרכזי. בטבלה הבאה מתוארים מקורות היומן.

מקור יומן	תיאור
יומני ביקורת של Admin Activity	אי אפשר להגדיר, להשבית או להחריג את יומני הביקורת Admin Activity.
יומני הביקורת System Event	אי אפשר להגדיר, להשבית או להחריג את יומני הביקורת System Event.
יומני ביקורת של מדיניות שנדחתה	אי אפשר להגדיר או להשבית את יומני הביקורת Policy Denied, אבל אפשר להחריג אותם באמצעות מסנני החרגה.
יומני ביקורת של גישה לנתונים	כברירת מחדל, התוכנית לא מפעילה יומני גישה לנתונים כי הנפח והעלות של היומנים האלה יכולים להיות גבוהים. כדי להחליט אם כדאי להפעיל יומני גישה לנתונים, צריך לבדוק איפה עומסי העבודה מטפלים במידע אישי רגיש, ולשקול אם יש דרישה להפעיל יומני גישה לנתונים לכל שירות וסביבה שעובדים עם מידע אישי רגיש.
VPC Flow Logs	תוכנית ה-blueprint מאפשרת להשתמש ב-VPC Flow Logs לכל תת-רשת. התוכנית מגדירה דגימת יומנים כדי לדגום 50% מהיומנים ולהפחית את העלות. אם יוצרים רשתות משנה נוספות, צריך לוודא שהתכונה 'יומני תנועה של VPC' מופעלת בכל רשת משנה.
Firewall Rules Logging	התוכנית מאפשרת ניהול כללי חומת אש עבור כל כלל מדיניות של חומת אש. אם יוצרים כללים נוספים למדיניות חומת האש עבור עומסי עבודה, צריך לוודא שהפעלת היומן של כללי חומת האש מופעלת עבור כל כלל חדש.
רישום ביומן של Cloud DNS	תוכנית ה-blueprint מאפשרת יומנים של Cloud DNS לתחומים מנוהלים. אם יוצרים אזורים מנוהלים נוספים, צריך להפעיל את היומנים האלה של ה-DNS.
רישום ביומן ביקורת של Google Workspace	נדרש שלב הפעלה חד-פעמי שלא מתבצע באופן אוטומטי על ידי תוכנית האב. מידע נוסף זמין במאמר בנושא שיתוף נתונים עם שירותיGoogle Cloud .
יומנים של Access Transparency	נדרש שלב הפעלה חד-פעמי שלא מתבצע אוטומטית על ידי תוכנית הפעולה. מידע נוסף זמין במאמר בנושא הפעלת שקיפות גישה.

בטבלה הבאה מתוארים מאגרי היומנים ואופן השימוש בהם עם יעדים נתמכים בתוכנית השרטוט.

כיור	יעד	מטרה
`sk-c-logging-la`	יומנים שמועברים לדליים של Cloud Logging עם Log Analytics ומערך נתונים מקושר ב-BigQuery	ניתוח פעיל של יומנים. להריץ חקירות אד-הוק באמצעות Logs Explorer במסוף, או לכתוב שאילתות SQL, דוחות ותצוגות באמצעות מערך הנתונים המקושר ב-BigQuery.
`sk-c-logging-bkt`	יומנים שהועברו ל-Cloud Storage	אחסון יומנים לטווח ארוך לצורך עמידה בדרישות, ביקורת ומעקב אחר אירועים. אם יש לכם דרישות תאימות לשמירת נתונים חובה, מומלץ להגדיר גם את Bucket Lock.
`sk-c-logging-pub`	יומנים שמועברים ל-Pub/Sub	ייצוא יומנים לפלטפורמה חיצונית, כמו מערכת SIEM קיימת. כדי לשלב את התכונה הזו עם מערכת ה-SIEM, צריך לבצע עבודה נוספת, למשל להשתמש במנגנונים הבאים: במקרים רבים, שילוב של צד שלישי עם Pub/Sub הוא השיטה המועדפת להעברת יומנים. ב-Google Security Operations, אפשר להעביר נתונים ל-Google Security Operations בלי להקצות תשתית נוספת.Google Cloud ב-Splunk, אפשר להזרים יומנים מ- Google Cloud אל Splunk באמצעות Dataflow.

כיור

יעד

מטרה

sk-c-logging-la

יומנים שמועברים לדליים של Cloud Logging עם Log Analytics ומערך נתונים מקושר ב-BigQuery

ניתוח פעיל של יומנים. להריץ חקירות אד-הוק באמצעות Logs Explorer במסוף, או לכתוב שאילתות SQL, דוחות ותצוגות באמצעות מערך הנתונים המקושר ב-BigQuery.

sk-c-logging-bkt

יומנים שהועברו ל-Cloud Storage

אחסון יומנים לטווח ארוך לצורך עמידה בדרישות, ביקורת ומעקב אחר אירועים.

אם יש לכם דרישות תאימות לשמירת נתונים חובה, מומלץ להגדיר גם את Bucket Lock.

sk-c-logging-pub

יומנים שמועברים ל-Pub/Sub

ייצוא יומנים לפלטפורמה חיצונית, כמו מערכת SIEM קיימת.

כדי לשלב את התכונה הזו עם מערכת ה-SIEM, צריך לבצע עבודה נוספת, למשל להשתמש במנגנונים הבאים:

במקרים רבים, שילוב של צד שלישי עם Pub/Sub הוא השיטה המועדפת להעברת יומנים.
ב-Google Security Operations, אפשר להעביר נתונים ל-Google Security Operations בלי להקצות תשתית נוספת.Google Cloud
ב-Splunk, אפשר להזרים יומנים מ- Google Cloud אל Splunk באמצעות Dataflow.

הנחיות להפעלת סוגים נוספים של יומנים ולכתיבת מסננים של אובייקטים מסוג sink ביומן זמינות בכלי להגדרת היקף היומן.

מעקב אחרי איומים באמצעות Security Command Center

מומלץ להפעיל את Security Command Center כדי לזהות באופן אוטומטי איומים, נקודות חולשה וטעויות בהגדרות של המשאבים ב- Google Cloud . ב-Security Command Center נוצרים ממצאים בנושא אבטחה ממקורות שונים, כולל:

‫Security Health Analytics: מזהה נקודות חולשה נפוצות וטעויות בהגדרות במשאבים שונים. Google Cloud
חשיפה של נתיבי תקיפה: התכונה הזו מציגה נתיב מדומה שדרכו תוקף יכול לנצל את המשאבים החשובים שלכם, על סמך נקודות החולשה וההגדרות השגויות שזוהו על ידי מקורות אחרים של Security Command Center.
‫Event Threat Detection: מחיל לוגיקת זיהוי ומודיעין איומים קנייני על היומנים שלכם כדי לזהות איומים כמעט בזמן אמת.
‫זיהוי איומים בקונטיינר: מזהה התקפות נפוצות בזמן הריצה של קונטיינרים.
זיהוי איומים במכונות וירטואליות: זיהוי אפליקציות שעלולות להיות זדוניות שפועלות במכונות וירטואליות.
‫Web Security Scanner: סורק את עשר נקודות החולשה המובילות של OWASP באפליקציות שפונות לאינטרנט ב-Compute Engine, ב-App Engine או ב-Google Kubernetes Engine.

מידע נוסף על נקודות החולשה והאיומים שמטופלים על ידי Security Command Center זמין במאמר מקורות של Security Command Center.

צריך להפעיל את Security Command Center אחרי שמבצעים פריסה של תוכנית הבסיס. הוראות מפורטות זמינות במאמר סקירה כללית על הפעלת Security Command Center.

אחרי שמפעילים את Security Command Center, מומלץ לייצא את הממצאים שנוצרו על ידי Security Command Center לכלים או לתהליכים הקיימים שלכם למיון איומים ולתגובה לאיומים. תוכנית ה-Blueprint יוצרת את פרויקט prj-c-scc עם נושא Pub/Sub לשימוש בשילוב הזה. בהתאם לכלים הקיימים, אפשר להשתמש באחת מהשיטות הבאות כדי לייצא את הממצאים:

אם אתם משתמשים במסוף כדי לנהל ממצאי אבטחה ישירות ב-Security Command Center, אתם צריכים להגדיר תפקידים ברמת התיקייה וברמת הפרויקט עבור Security Command Center כדי לאפשר לצוותים להציג ולנהל ממצאי אבטחה רק עבור הפרויקטים שהם אחראים להם.
אם אתם משתמשים ב-Google SecOps כ-SIEM, אתם יכולים להעביר Google Cloudנתונים אל Google SecOps.
אם אתם משתמשים בכלי SIEM או SOAR עם שילובים ב-Security Command Center, אתם יכולים לשתף נתונים עם Cortex XSOAR,‏ Elastic Stack,‏ ServiceNow,‏ Splunk או QRadar.
אם אתם משתמשים בכלי חיצוני שיכול לקלוט ממצאים מ-Pub/Sub, אתם יכולים להגדיר ייצוא רציף ל-Pub/Sub ולהגדיר את הכלים הקיימים שלכם לקליטת ממצאים מנושא Pub/Sub.

פתרון בהתאמה אישית לניתוח אוטומטי של יומנים

יכול להיות שיש לכם דרישות ליצירת התראות לגבי אירועי אבטחה שמבוססות על שאילתות מותאמות אישית ביומנים. שאילתות מותאמות אישית יכולות לעזור לכם להשלים את היכולות של מערכת ה-SIEM שלכם. הן מאפשרות לכם לנתח יומנים ב- Google Cloud ולייצא רק את האירועים שדורשים חקירה, במיוחד אם אין לכם אפשרות לייצא את כל יומני הענן למערכת ה-SIEM.

התוכנית עוזרת להפעיל את ניתוח היומנים הזה על ידי הגדרת מקור מרכזי של יומנים שאפשר לשלוח אליו שאילתות באמצעות מערך נתונים מקושר של BigQuery. כדי להפוך את היכולת הזו לאוטומטית, צריך להטמיע את דוגמת הקוד בכתובת bq-log-alerting ולהרחיב את יכולות הבסיס. קוד הדוגמה מאפשר לכם לשלוח שאילתות באופן קבוע למקור יומן ולשלוח ממצא מותאם אישית ל-Security Command Center.

התרשים הבא מציג את התהליך הכללי של ניתוח יומן אוטומטי.

ניתוח אוטומטי של רישום ביומן.

הדיאגרמה מציגה את המושגים הבאים של ניתוח יומנים אוטומטי:

יומנים ממקורות שונים מצטברים בדלי יומנים מרכזי עם ניתוח יומנים ומערך נתונים מקושר של BigQuery.
תצוגות BigQuery מוגדרות לשאילתות ביומנים לגבי אירוע האבטחה שרוצים לעקוב אחריו.
‫Cloud Scheduler דוחף אירוע לנושא Pub/Sub כל 15 דקות ומפעיל פונקציות Cloud Run.
פונקציות Cloud Run שולחות שאילתות לתצוגות כדי לקבל אירועים חדשים. אם הוא מוצא אירועים, הוא מעביר אותם ל-Security Command Center כממצאים מותאמים אישית.
‫Security Command Center מפרסם התראות על ממצאים חדשים בנושא אחר ב-Pub/Sub.
כלי חיצוני כמו SIEM נרשם לנושא ב-Pub/Sub כדי להטמיע ממצאים חדשים.

בדוגמה יש כמה תרחישי שימוש לשאילתות לגבי התנהגות שעלולה להיות חשודה. דוגמאות לכך הן התחברות מרשימה של סופר-אדמינים או מחשבונות אחרים עם הרשאות גבוהות שאתם מציינים, שינויים בהגדרות הרישום ביומן או שינויים בנתיבי הרשת. אפשר להרחיב את תרחישי השימוש על ידי כתיבת תצוגות חדשות של שאילתות בהתאם לדרישות שלכם. אתם יכולים לכתוב שאילתות משלכם או לעיין בניתוח של יומני אבטחה כדי למצוא ספרייה של שאילתות SQL שיעזרו לכם לנתח יומנים. Google Cloud

פתרון בהתאמה אישית להגבהה לשינויים בנכסים

כדי להגיב לאירועים בזמן אמת, מומלץ להשתמש במאגר משאבי ענן כדי לעקוב אחרי שינויים בנכסים. בפתרון המותאם אישית הזה, פיד נכסים מוגדר להפעלת התראות ל-Pub/Sub לגבי שינויים במשאבים בזמן אמת, ואז פונקציות Cloud Run מריצות קוד מותאם אישית כדי לאכוף את הלוגיקה העסקית שלכם בהתאם לשאלה אם השינוי צריך להיות מותר.

בתוכנית ה-blueprint יש דוגמה לפתרון ניהול בהתאמה אישית שעוקב אחרי שינויים ב-IAM שמוסיפים תפקידים רגישים מאוד, כולל אדמין ארגוני, בעלים ועורך. הדיאגרמה הבאה מתארת את הפתרון הזה.

ביטול אוטומטי של שינוי במדיניות IAM ושליחת התראה.

בתרשים שלמעלה מוצגים המושגים האלה:

בוצעו שינויים במדיניות הרשאה.
פיד מאגר משאבי הענן שולח התראה בזמן אמת על השינוי במדיניות ההרשאות ל-Pub/Sub.
טריגר Pub/Sub מפעיל פונקציה.
פונקציות Cloud Run מריצות קוד בהתאמה אישית כדי לאכוף את המדיניות. לפונקציה לדוגמה יש לוגיקה להערכה אם השינוי הוסיף את התפקידים 'אדמין ארגוני', 'בעלים' או 'עריכה' למדיניות הרשאות. אם כן, הפונקציה יוצרת ממצא אבטחה בהתאמה אישית ושולחת אותו ל-Security Command Center.
אפשר גם להשתמש במודל הזה כדי להפוך את מאמצי התיקון לאוטומטיים. כותבים לוגיקה עסקית נוספת בפונקציות Cloud Run כדי לבצע פעולה באופן אוטומטי לגבי הממצא, כמו החזרת מדיניות ההרשאה למצב הקודם שלה.

בנוסף, אתם יכולים להרחיב את התשתית והלוגיקה שמשמשות את הפתרון לדוגמה הזה כדי להוסיף תגובות מותאמות אישית לאירועים אחרים שחשובים לעסק שלכם.

המאמרים הבאים

קראו על בקרות מונעות (המסמך הבא בסדרה).

אמצעי בקרה לזיהוי קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.