Controlli di rilevamento

Le funzionalità di rilevamento e monitoraggio delle minacce vengono fornite utilizzando una combinazione di controlli di sicurezza integrati di Security Command Center e soluzioni personalizzate che consentono di rilevare gli eventi di sicurezza e rispondere a questi.

Logging centralizzato per sicurezza e audit

Il progetto configura le funzionalità di logging per monitorare e analizzare le modifiche apportate alle risorse Google Cloud con i log aggregati in un singolo progetto.

Il seguente diagramma mostra come il progetto aggrega i log provenienti da più origini in più progetti in un sink di log centralizzato.

Il diagramma descrive quanto segue:

• I sink di log sono configurati nel nodo dell'organizzazione per aggregare i log di tutti i progetti nella gerarchia delle risorse.
• Sono configurati più sink di log per inviare i log che corrispondono a un filtro a destinazioni diverse per l'archiviazione e l'analisi.
• Il progetto prj-c-logging contiene tutte le risorse per l'archiviazione e l'analisi dei log.
• Se vuoi, puoi configurare strumenti aggiuntivi per esportare i log in un SIEM.

Il progetto utilizza diverse origini log e include questi log nel filtro del sink di log in modo che possano essere esportati in una destinazione centralizzata. La tabella seguente descrive le origini log.

Sorgente log	Descrizione
Audit log delle attività di amministrazione	Non puoi configurare, disabilitare o escludere gli audit log delle attività di amministrazione.
Audit log degli eventi di sistema	Non puoi configurare, disabilitare o escludere gli audit log degli eventi di sistema.
Audit log negati da criteri	Non puoi configurare o disabilitare gli audit log negati da criteri, ma puoi escluderli facoltativamente con i filtri di esclusione.
Audit log degli accessi ai dati	Per impostazione predefinita, il progetto non abilita i log di accesso ai dati perché il volume e il costo di questi log possono essere elevati. Per determinare se devi abilitare i log di accesso ai dati, valuta dove i carichi di lavoro gestiscono i dati sensibili e se devi abilitare i log di accesso ai dati per ogni servizio e ambiente che utilizza dati sensibili.
Log di flusso VPC	Il progetto abilita i log di flusso VPC per ogni subnet. Il progetto configura il campionamento dei log per campionare il 50% dei log per ridurre i costi. Se crei subnet aggiuntive, devi assicurarti che i log di flusso VPC siano abilitati per ogni subnet.
Formato di logging delle regole delle policy del firewall.	Il progetto abilita il logging delle regole firewall per ogni regola delle policy firewall. Se crei regole delle policy del firewall aggiuntive per i carichi di lavoro, devi assicurarti che il logging delle regole firewall sia abilitato per ogni nuova regola.
Logging di Cloud DNS	Il progetto abilita i log di Cloud DNS per le zone gestite. Se crei zone gestite aggiuntive, devi abilitare questi log DNS.
Logging di controllo di Google Workspace	Richiede un passaggio di abilitazione una tantum che non viene automatizzato dal progetto. Per ulteriori informazioni, vedi Condividere i dati con Google Cloud i servizi.
Log di Access Transparency	Richiede un passaggio di abilitazione una tantum che non viene automatizzato dal progetto. Per ulteriori informazioni, vedi Abilitare Access Transparency.

La tabella seguente descrive i sink di log e il modo in cui vengono utilizzati con destinazioni supportate nel progetto.

Sink	Destinazione	Finalità
sk-c-logging-la	Log instradati ai bucket di Cloud Logging con Log Analytics e un set di dati BigQuery collegato abilitato	Analizza attivamente i log. Esegui indagini ad hoc utilizzando Esplora log nella console oppure scrivi query SQL, report e visualizzazioni utilizzando il set di dati BigQuery collegato.
sk-c-logging-bkt	Log instradati a Cloud Storage	Archivia i log a lungo termine per scopi di conformità, audit e monitoraggio degli incidenti. Se hai requisiti di conformità per la conservazione obbligatoria dei dati , ti consigliamo di configurare anche il blocco dei bucket.
sk-c-logging-pub	Log instradati a Pub/Sub	Esporta i log in una piattaforma esterna, ad esempio il tuo SIEM esistente. Per l'integrazione con il SIEM sono necessari ulteriori interventi, ad esempio i seguenti meccanismi: Per molti strumenti, l'integrazione di terze parti con Pub/Sub è il metodo preferito per l'importazione dei log. Per Google Security Operations, puoi importare Google Cloud i dati in Google Security Operations senza eseguire il provisioning di un'infrastruttura aggiuntiva. Per Splunk, puoi eseguire lo streaming dei log da Google Cloud a Splunk utilizzando Dataflow.

Per indicazioni sull'abilitazione di tipi di log aggiuntivi e sulla scrittura di filtri dei sink di log, consulta lo strumento di definizione dell'ambito dei log.

Monitoraggio delle minacce con Security Command Center

Ti consigliamo di attivare Security Command Center per rilevare automaticamente minacce, vulnerabilità e configurazioni errate nelle tue Google Cloud risorse. Security Command Center crea risultati sulla sicurezza da più origini, tra cui:

• Security Health Analytics: rileva vulnerabilità e configurazioni errate comuni nelle Google Cloud risorse.
• Esposizione del percorso di attacco: mostra un percorso simulato di come un utente malintenzionato potrebbe sfruttare le tue risorse di alto valore, in base alle vulnerabilità e alle configurazioni errate rilevate da altre origini di Security Command Center.
• Event Threat Detection: applica la logica di rilevamento e la threat intelligence proprietaria ai log per identificare le minacce quasi in tempo reale.
• Container Threat Detection: rileva gli attacchi runtime ai container più comuni.
• Virtual Machine Threat Detection: rileva le applicazioni potenzialmente dannose in esecuzione sulle macchine virtuali.
• Web Security Scanner: esegue la scansione delle vulnerabilità OWASP Top Ten nelle applicazioni rivolte al web su Compute Engine, App Engine o Google Kubernetes Engine.

Per ulteriori informazioni sulle vulnerabilità e sulle minacce gestite da Security Command Center, vedi Origini di Security Command Center.

Devi attivare Security Command Center dopo aver eseguito il deployment del progetto. Per istruzioni, vedi Panoramica dell'attivazione di Security Command Center.

Dopo aver attivato Security Command Center, ti consigliamo di esportare i risultati generati da Security Command Center negli strumenti o nei processi esistenti per la valutazione e la risposta alle minacce. Il progetto crea il progetto prj-c-scc con un argomento Pub/Sub da utilizzare per questa integrazione. A seconda degli strumenti esistenti, utilizza uno dei seguenti metodi per esportare i risultati:

• Se utilizzi la console per gestire i risultati sulla sicurezza direttamente in Security Command Center, configura ruoli a livello di cartella e di progetto per Security Command Center per consentire ai team di visualizzare e gestire i risultati sulla sicurezza solo per i progetti di cui sono responsabili.

• Se utilizzi Google SecOps come SIEM, importa Google Cloud i dati in Google SecOps.

• Se utilizzi uno strumento SIEM o SOAR con integrazioni a Security Command Center, condividi i dati con Cortex XSOAR, Elastic Stack, ServiceNow, Splunk, o QRadar.

• Se utilizzi uno strumento esterno in grado di importare i risultati da Pub/Sub, configura esportazioni continue in Pub/Sub e configura gli strumenti esistenti per importare i risultati dall'argomento Pub/Sub.

Soluzione personalizzata per l'analisi automatizzata dei log

Potresti avere requisiti per creare avvisi per gli eventi di sicurezza basati su query personalizzate sui log. Le query personalizzate possono aiutarti a integrare le funzionalità del tuo SIEM analizzando i log su Google Cloud e esportando solo gli eventi che meritano un'indagine, soprattutto se non hai la capacità di esportare tutti i log cloud nel tuo SIEM.

Il progetto consente di abilitare questa analisi dei log configurando un'origine centralizzata di log su cui puoi eseguire query utilizzando un set di dati BigQuery collegato. Per automatizzare questa funzionalità, devi implementare l'esempio di codice in bq-log-alerting ed estendere le funzionalità di base. Il codice campione ti consente di eseguire regolarmente query su una sorgente log e inviare un risultato personalizzato a Security Command Center.

Il seguente diagramma introduce il flusso di alto livello dell'analisi automatizzata dei log.

Il diagramma mostra i seguenti concetti di analisi automatizzata dei log:

• I log provenienti da varie origini vengono aggregati in un bucket di log centralizzato con Log Analytics e un set di dati BigQuery collegato.
• Le visualizzazioni BigQuery sono configurate per eseguire query sui log per l'evento di sicurezza che vuoi monitorare.
• Cloud Scheduler invia un evento a un argomento Pub/Sub ogni 15 minuti e attiva Cloud Run Functions.
• Cloud Run Functions esegue query sulle visualizzazioni per i nuovi eventi. Se trova eventi, li invia a Security Command Center come risultati personalizzati.
• Security Command Center pubblica le notifiche sui nuovi risultati in un altro argomento Pub/Sub.
• Uno strumento esterno, ad esempio un SIEM, si abbona all'argomento Pub/Sub per importare i nuovi risultati.

L'esempio include diversi casi d'uso per eseguire query su comportamenti potenzialmente sospetti. Ad esempio, un accesso da un elenco di super amministratori o altri account con privilegi elevati che specifichi, modifiche alle impostazioni di logging o modifiche alle route di rete. Puoi estendere i casi d'uso scrivendo nuove visualizzazioni di query per i tuoi requisiti. Scrivi le tue query o fai riferimento a analisi dei log di sicurezza per una libreria di query SQL che ti aiuti a analizzare Google Cloud i log.

Soluzione personalizzata per rispondere alle modifiche degli asset

Per rispondere agli eventi in tempo reale, ti consigliamo di utilizzare Cloud Asset Inventory per monitorare le modifiche degli asset. In questa soluzione personalizzata, un feed di asset è configurato per attivare le notifiche a Pub/Sub in merito alle modifiche apportate alle risorse in tempo reale, quindi Cloud Run Functions esegue codice personalizzato per applicare la tua logica di business in base al fatto che la modifica debba essere consentita.

Il progetto include un esempio di questa soluzione di governance personalizzata che monitora le modifiche IAM che aggiungono ruoli altamente sensibili, tra cui Amministratore dell'organizzazione, Proprietario ed Editor. Il seguente diagramma descrive questa soluzione.

Il diagramma precedente mostra i seguenti concetti:

• Vengono apportate modifiche a una policy di autorizzazione.
• Il feed di Cloud Asset Inventory invia una notifica in tempo reale sulla modifica della policy di autorizzazione a Pub/Sub.
• Pub/Sub attiva una funzione.
• Cloud Run Functions esegue codice personalizzato per applicare la policy. La funzione di esempio ha una logica per valutare se la modifica ha aggiunto i ruoli Amministratore dell'organizzazione, Proprietario o Editor a una policy di autorizzazione. In caso affermativo, la funzione crea un risultato sulla sicurezza personalizzato e lo invia a Security Command Center.
• Se vuoi, puoi utilizzare questo modello per automatizzare le attività di correzione. Scrivi ulteriore logica di business in Cloud Run Functions per intraprendere automaticamente azioni sul risultato, ad esempio ripristinare la policy di autorizzazione allo stato precedente.

Inoltre, puoi estendere l'infrastruttura e la logica utilizzate da questa soluzione di esempio per aggiungere risposte personalizzate ad altri eventi importanti per la tua attività.

Passaggi successivi

• Scopri di più sui controlli preventivi (documento successivo di questa serie).