Controlli di rilevamento

Le funzionalità di rilevamento e monitoraggio delle minacce vengono fornite utilizzando una combinazione di controlli di sicurezza integrati di Security Command Center e soluzioni personalizzate che ti consentono di rilevare e rispondere agli eventi di sicurezza.

Logging centralizzato per la sicurezza e il controllo

Il blueprint configura le funzionalità di logging per monitorare e analizzare le modifiche alle tue risorse Google Cloud con log aggregati in un unico progetto.

Il seguente diagramma mostra come il blueprint aggrega i log di più origini in più progetti in un sink di log centralizzato.

Il diagramma descrive quanto segue:

• I sink di log sono configurati nel nodo dell'organizzazione per aggregare i log di tutti i progetti nella gerarchia delle risorse.
• Sono configurati più sink di log per inviare i log che corrispondono a un filtro a destinazioni diverse per l'archiviazione e l'analisi.
• Il progetto prj-c-logging contiene tutte le risorse per l'archiviazione e l'analisi dei log.
• Se vuoi, puoi configurare strumenti aggiuntivi per esportare i log in un SIEM.

Il blueprint utilizza origini log diverse e include questi log nel filtro del sink di log in modo che possano essere esportati in una destinazione centralizzata. La tabella seguente descrive le origini log.

Sorgente log	Descrizione
Audit log delle attività di amministrazione	Non puoi configurare, disabilitare o escludere gli audit log per le attività di amministrazione.
Audit log degli eventi di sistema	Non puoi configurare, disabilitare o escludere gli audit log degli eventi di sistema.
Audit log negati da criteri	Non puoi configurare o disabilitare gli audit log di policy negata, ma puoi escluderli facoltativamente con i filtri di esclusione.
Audit log dell'accesso ai dati	Per impostazione predefinita, il blueprint non abilita i log di accesso ai dati perché il volume e il costo di questi log possono essere elevati. Per determinare se devi abilitare i log di accesso ai dati, valuta dove i tuoi carichi di lavoro gestiscono dati sensibili e valuta se devi abilitare i log di accesso ai dati per ogni servizio e ambiente che gestisce dati sensibili.
Log di flusso VPC	Il blueprint abilita i log di flusso VPC per ogni subnet. Il blueprint configura il campionamento dei log per campionare il 50% dei log e ridurre i costi. Se crei subnet aggiuntive, devi assicurarti che i log di flusso VPC siano abilitati per ogni subnet.
Logging delle regole firewall	Il blueprint abilita il logging delle regole firewall per ogni regola del criterio firewall. Se crei regole di policy firewall aggiuntive per i carichi di lavoro, devi assicurarti che il logging delle regole firewall sia attivato per ogni nuova regola.
Logging di Cloud DNS	Il blueprint attiva i log di Cloud DNS per le zone gestite. Se crei zone gestite aggiuntive, devi abilitare questi log DNS.
Registrazione dei log di controllo di Google Workspace	Richiede un passaggio di attivazione una tantum non automatizzato dal blueprint. Per saperne di più, consulta Condividere i dati con i servizi Google Cloud .
Log di Access Transparency	Richiede un passaggio di attivazione una tantum non automatizzato dal blueprint. Per ulteriori informazioni, vedi Attivare Access Transparency.

La tabella seguente descrive i sink di log e come vengono utilizzati con le destinazioni supportate nel blueprint.

Sink	Destinazione	Finalità
sk-c-logging-la	Log indirizzati ai bucket Cloud Logging con Log Analytics e un set di dati BigQuery collegato abilitato	Analizza attivamente i log. Esegui indagini ad hoc utilizzando Logs Explorer nella console oppure scrivi query, report e viste SQL utilizzando il set di dati BigQuery collegato.
sk-c-logging-bkt	Log instradati a Cloud Storage	Archivia i log a lungo termine per scopi di conformità, audit e monitoraggio degli incidenti. Se hai requisiti di conformità per la conservazione obbligatoria dei dati, ti consigliamo di configurare anche Bucket Lock.
sk-c-logging-pub	Log indirizzati a Pub/Sub	Esporta i log in una piattaforma esterna, ad esempio il tuo SIEM esistente. Ciò richiede un lavoro aggiuntivo per l'integrazione con il SIEM, ad esempio i seguenti meccanismi: Per molti strumenti, l'integrazione di terze parti con Pub/Sub è il metodo preferito per l'importazione dei log. Per Google Security Operations, puoi importare Google Cloud dati in Google Security Operations senza eseguire il provisioning di un'infrastruttura aggiuntiva. Per Splunk, puoi trasmettere i log da Google Cloud a Splunk utilizzando Dataflow.

Per indicazioni sull'attivazione di tipi di log aggiuntivi e sulla scrittura di filtri sink di log, consulta lo strumento di definizione dell'ambito dei log.

Monitoraggio delle minacce con Security Command Center

Ti consigliamo di attivare Security Command Center per rilevare automaticamente minacce, vulnerabilità ed errori di configurazione nelle tue risorse Google Cloud . Security Command Center crea risultati di sicurezza da più fonti, tra cui le seguenti:

• Security Health Analytics: rileva vulnerabilità e configurazioni errate comuni nelle risorse Google Cloud.
• Esposizione al percorso di attacco: mostra un percorso simulato di come un utente malintenzionato potrebbe sfruttare le tue risorse di alto valore, in base alle vulnerabilità e alle configurazioni errate rilevate da altre origini di Security Command Center.
• Event Threat Detection: applica la logica di rilevamento e l'intelligence proprietaria sulle minacce ai tuoi log per identificare le minacce quasi in tempo reale.
• Container Threat Detection: rileva gli attacchi runtime ai container più comuni.
• Virtual Machine Threat Detection: rileva le applicazioni potenzialmente dannose in esecuzione sulle macchine virtuali.
• Web Security Scanner: esegue la scansione delle vulnerabilità OWASP Top Ten nelle applicazioni web su Compute Engine, App Engine o Google Kubernetes Engine.

Per saperne di più sulle vulnerabilità e sulle minacce affrontate da Security Command Center, consulta Origini di Security Command Center.

Devi attivare Security Command Center dopo aver eseguito il deployment del blueprint. Per istruzioni, vedi Panoramica dell'attivazione di Security Command Center.

Dopo aver attivato Security Command Center, ti consigliamo di esportare i risultati prodotti da Security Command Center negli strumenti o nei processi esistenti per la valutazione e la risposta alle minacce. Il blueprint crea il progetto prj-c-scc con un argomento Pub/Sub da utilizzare per questa integrazione. A seconda degli strumenti esistenti, utilizza uno dei seguenti metodi per esportare i risultati:

• Se utilizzi la console per gestire i risultati di sicurezza direttamente in Security Command Center, configura i ruoli a livello di cartella e progetto per Security Command Center per consentire ai team di visualizzare e gestire i risultati di sicurezza solo per i progetti di cui sono responsabili.

• Se utilizzi Google SecOps come SIEM, inserisci Google Cloud i dati in Google SecOps.

• Se utilizzi uno strumento SIEM o SOAR con integrazioni in Security Command Center, condividi i dati con Cortex XSOAR, Elastic Stack, ServiceNow, Splunk, o QRadar.

• Se utilizzi uno strumento esterno in grado di importare i risultati da Pub/Sub, configura le esportazioni continue in Pub/Sub e configura gli strumenti esistenti per importare i risultati dall'argomento Pub/Sub.

Soluzione personalizzata per l'analisi automatizzata dei log

Potresti avere requisiti per creare avvisi per eventi di sicurezza basati su query personalizzate nei log. Le query personalizzate possono contribuire a integrare le funzionalità del tuo SIEM analizzando i log su Google Cloud ed esportando solo gli eventi che meritano un'indagine, soprattutto se non hai la capacità di esportare tutti i log cloud nel tuo SIEM.

Il blueprint consente questa analisi dei log configurando un'origine centralizzata di log su cui è possibile eseguire query utilizzando un set di dati BigQuery collegato. Per automatizzare questa funzionalità, devi implementare l'esempio di codice all'indirizzo bq-log-alerting ed estendere le funzionalità di base. Il codice campione ti consente di eseguire query regolarmente su un'origine log e inviare un risultato personalizzato a Security Command Center.

Il seguente diagramma introduce il flusso di alto livello dell'analisi automatica dei log.

Il diagramma mostra i seguenti concetti di analisi automatica dei log:

• I log provenienti da varie origini vengono aggregati in un bucket di log centralizzato con l'analisi dei log e un set di dati BigQuery collegato.
• Le viste BigQuery sono configurate per eseguire query sui log per l'evento di sicurezza che vuoi monitorare.
• Cloud Scheduler invia un evento a un argomento Pub/Sub ogni 15 minuti e attiva le funzioni Cloud Run.
• Cloud Run Functions esegue query sulle visualizzazioni per nuovi eventi. Se trova eventi, li invia a Security Command Center come risultati personalizzati.
• Security Command Center pubblica le notifiche sui nuovi risultati in un altro argomento Pub/Sub.
• Uno strumento esterno come un SIEM si iscrive all'argomento Pub/Sub per importare nuovi risultati.

L'esempio presenta diversi casi d'uso per eseguire query su comportamenti potenzialmente sospetti. Ad esempio, un accesso da un elenco di super amministratori o altri account con privilegi elevati specificati, modifiche alle impostazioni di logging o modifiche alle route di rete. Puoi estendere i casi d'uso scrivendo nuove visualizzazioni delle query in base ai tuoi requisiti. Scrivi le tue query o fai riferimento all'analisi dei log di sicurezza per una libreria di query SQL che ti aiuti ad analizzare i log. Google Cloud

Soluzione personalizzata per rispondere alle modifiche agli asset

Per rispondere agli eventi in tempo reale, ti consigliamo di utilizzare Cloud Asset Inventory per monitorare le modifiche agli asset. In questa soluzione personalizzata, un feed di asset è configurato per attivare notifiche a Pub/Sub in merito alle modifiche alle risorse in tempo reale, dopodiché Cloud Run Functions esegue codice personalizzato per applicare la tua logica di business in base al fatto che la modifica debba essere consentita.

Il blueprint include un esempio di questa soluzione di governance personalizzata che monitora le modifiche IAM che aggiungono ruoli altamente sensibili, tra cui Amministratore dell'organizzazione, Proprietario ed Editor. Il seguente diagramma descrive questa soluzione.

Il diagramma precedente mostra i seguenti concetti:

• Vengono apportate modifiche a una policy di autorizzazione.
• Il feed Cloud Asset Inventory invia una notifica in tempo reale della modifica della policy di autorizzazione a Pub/Sub.
• Pub/Sub attiva una funzione.
• Cloud Run Functions esegue codice personalizzato per applicare la tua policy. La funzione di esempio ha una logica per valutare se la modifica ha aggiunto i ruoli Amministratore organizzazione, Proprietario o Editor a una policy di autorizzazione. In questo caso, la funzione crea un risultato di sicurezza personalizzato e lo invia a Security Command Center.
• Se vuoi, puoi utilizzare questo modello per automatizzare gli interventi correttivi. Scrivi logica di business aggiuntiva nelle funzioni Cloud Run per intervenire automaticamente sul risultato, ad esempio ripristinando lo stato precedente della policy di autorizzazione.

Inoltre, puoi estendere l'infrastruttura e la logica utilizzate da questa soluzione di esempio per aggiungere risposte personalizzate ad altri eventi importanti per la tua attività.

Passaggi successivi

• Scopri di più sui controlli preventivi (documento successivo di questa serie).