您可以結合使用 Security Command Center 內建的安全控管措施和自訂解決方案,偵測及監控威脅,並對安全事件做出回應。
集中化記錄,方便進行安全性和稽核
藍圖會設定記錄功能,以便追蹤及分析 Google Cloud 資源的變更,並將記錄匯總至單一專案。
下圖顯示藍圖如何將多個專案中多個來源的記錄,匯總到集中式記錄接收器。
這張圖表說明下列事項:
- 在機構節點設定記錄接收器,即可匯總資源階層中所有專案的記錄。
- 設定多個記錄接收器,將符合篩選條件的記錄傳送至不同目的地,以供儲存和分析。
prj-c-logging專案包含用於記錄儲存和分析的所有資源。- 您也可以視需要設定其他工具,將記錄檔匯出至 SIEM。
藍圖會使用不同的記錄來源,並將這些記錄納入記錄接收器篩選器,以便將記錄匯出至集中式目的地。下表說明記錄來源。
記錄檔來源 |
說明 |
|---|---|
您無法設定、停用或排除管理員活動稽核記錄。 |
|
您無法設定、停用或排除系統事件稽核記錄。 |
|
您無法設定或停用政策遭拒稽核記錄,但可以選擇使用排除篩選器排除這類記錄。 |
|
根據預設,藍圖不會啟用資料存取記錄,因為這些記錄的量和費用可能很高。 如要判斷是否應啟用資料存取記錄,請評估工作負載處理私密資料的位置,並考量是否需要為每個處理私密資料的服務和環境啟用資料存取記錄。 |
|
藍圖會為每個子網路啟用虛擬私有雲流量記錄。藍圖會設定記錄取樣,取樣 50% 的記錄,以降低費用。 如果您建立其他子網路,請務必為每個子網路啟用虛擬私有雲流量記錄。 | |
藍圖會為每個防火牆政策規則啟用防火牆規則記錄功能。 如果您為工作負載建立額外的防火牆政策規則,請務必為每項新規則啟用防火牆規則記錄功能。 | |
藍圖會啟用代管區域的 Cloud DNS 記錄。 如果您建立其他代管區域,就必須啟用這些 DNS 記錄。 | |
需要一次性啟用步驟,藍圖不會自動執行這項步驟。詳情請參閱「與Google Cloud 服務共用資料」。 |
|
需要一次性啟用步驟,藍圖不會自動執行。詳情請參閱「啟用資料存取透明化控管機制」。 |
下表說明記錄接收器,以及如何在藍圖中搭配支援的目的地使用。
接收器 | 目的地 |
目的 |
|---|---|---|
| 主動分析記錄。在主控台中使用 記錄檢視器執行臨時調查,或使用連結的 BigQuery 資料集編寫 SQL 查詢、報表和檢視畫面。 |
|
|
長期儲存記錄,以利法規遵循、稽核及追蹤事件。 如有強制資料保留的法規遵循需求,建議您額外設定 Bucket Lock。 |
|
|
將記錄匯出至外部平台,例如現有的 SIEM。 這需要額外作業才能與 SIEM 整合,例如下列機制:
|
如要瞭解如何啟用其他記錄類型及編寫記錄接收器篩選器,請參閱記錄範圍設定工具。
使用 Security Command Center 監控威脅
建議您啟用 Security Command Center,自動偵測 Google Cloud 資源中的威脅、安全漏洞和設定錯誤。Security Command Center 會根據多個來源 (包括下列來源) 建立安全性發現項目:
- 安全狀態分析:偵測資源中常見的安全漏洞和設定錯誤。 Google Cloud
- 攻擊路徑暴露:根據其他 Security Command Center 來源偵測到的安全漏洞和錯誤設定,顯示攻擊者可能如何利用高價值資源的模擬路徑。
- Event Threat Detection: 對記錄套用偵測邏輯和專屬威脅情報,以近乎即時的方式找出威脅。
- Container Threat Detection:偵測常見的容器執行階段攻擊。
- Virtual Machine Threat Detection: 偵測虛擬機器上執行的潛在惡意應用程式。
- Web Security Scanner: 掃描 Compute Engine、App Engine 或 Google Kubernetes Engine 上,面向網路的應用程式是否含有 OWASP Top Ten 安全漏洞。
如要進一步瞭解 Security Command Center 解決的安全性弱點和威脅,請參閱「Security Command Center 來源」。
部署藍圖後,您必須啟用 Security Command Center。如需操作說明,請參閱啟用 Security Command Center 的簡介。
啟用 Security Command Center 後,建議您將 Security Command Center 產生的發現項目匯出至現有工具或程序,以便分類及回應威脅。藍圖會建立 prj-c-scc 專案,並提供用於這項整合的 Pub/Sub 主題。視現有工具而定,請使用下列其中一種方法匯出調查結果:
- 如果您使用控制台直接在 Security Command Center 中管理安全性發現項目,請為 Security Command Center 設定資料夾層級和專案層級的角色,讓團隊僅能查看及管理負責專案的安全性發現項目。
如果您使用 Google SecOps 做為 SIEM,請擷取 Google Cloud資料至 Google SecOps。
如果您使用 SIEM 或 SOAR 工具並整合 Security Command Center,可以與 Cortex XSOAR、Elastic Stack、ServiceNow、Splunk 或 QRadar 分享資料。
如果您使用可從 Pub/Sub 擷取發現項目的外部工具,請設定持續匯出至 Pub/Sub,並設定現有工具從 Pub/Sub 主題擷取發現項目。
自動記錄分析的自訂解決方案
您可能需要根據對記錄執行的自訂查詢,為安全事件建立快訊。自訂查詢可分析記錄檔,並只匯出值得調查的事件,藉此輔助 SIEM 的功能,特別是當您沒有足夠容量將所有雲端記錄檔匯出至 SIEM 時。 Google Cloud
藍圖會設定集中式記錄來源,方便您使用連結的 BigQuery 資料集查詢,藉此啟用記錄分析。如要自動執行這項功能,請實作 bq-log-alerting 的程式碼範例,並擴充基礎功能。這個範例程式碼可讓您定期查詢記錄來源,並將自訂發現項目傳送至 Security Command Center。
下圖說明自動記錄分析的整體流程。
下圖顯示自動記錄分析的下列概念:
- 系統會將各種來源的記錄匯總至集中式記錄儲存空間,並提供記錄分析功能和連結的 BigQuery 資料集。
- BigQuery 檢視表會設定為查詢您要監控的安全事件記錄。
- Cloud Scheduler 每 15 分鐘會將事件推送至 Pub/Sub 主題,並觸發 Cloud Run 函式。
- Cloud Run 函式會查詢檢視區塊是否有新事件。如果發現事件,就會將事件推送至 Security Command Center,做為自訂發現項目。
- Security Command Center 會將新發現項目的通知發布至另一個 Pub/Sub 主題。
- SIEM 等外部工具會訂閱 Pub/Sub 主題,以便擷取新發現項目。
這個範例有幾個使用案例,可查詢可能出現的可疑行為。例如,從您指定的超級管理員或其他高權限帳戶清單登入、變更記錄設定,或變更網路路徑。您可以根據需求編寫新的查詢檢視畫面,擴展用途。您可以自行編寫查詢,也可以參考安全性記錄檔分析,取得 SQL 查詢程式庫,協助您分析記錄檔。 Google Cloud
自訂解決方案,可回應資產變更
如要即時回應事件,建議使用 Cloud Asset Inventory 監控資產變更。在這個自訂解決方案中,資產動態饋給會設定為即時觸發 Pub/Sub 的資源變更通知,然後 Cloud Run 函式會執行自訂程式碼,根據是否允許變更來強制執行您自己的業務邏輯。
藍圖提供這類自訂控管解決方案的範例,可監控身分與存取權管理 (IAM) 異動,包括新增機構管理員、擁有者和編輯者等高度敏感的角色。下圖說明瞭這個解決方案。
上圖顯示了下列概念:
- 變更允許政策。
- Cloud Asset Inventory 動態饋給會將允許政策變更的即時通知傳送至 Pub/Sub。
- Pub/Sub 會觸發函式。
- Cloud Run 函式會執行自訂程式碼,以強制執行政策。範例函式具有邏輯,可評估變更是否已將機構管理員、擁有者或編輯者角色新增至允許政策。如果是,函式會建立自訂安全調查結果,並傳送至 Security Command Center。
- 您也可以選擇使用這個模型,自動執行補救措施。在 Cloud Run 函式中編寫額外的業務邏輯,自動對發現項目採取行動,例如將允許政策還原至先前的狀態。
此外,您也可以擴充這個範例解決方案使用的基礎架構和邏輯,為對貴商家重要的其他事件新增自訂回應。
後續步驟
- 請參閱預防性控制措施 (本系列的下一份文件)。