אימות של אמצעי בקרה והגדרות אבטחה

המדריך הזה מיועד למהנדסי אבטחה שרוצים לבדוק באופן יזום את האבטחה שלהם על ידי סימולציות של מתקפות בסביבת Google Cloud שלהם. המאמר מסביר איך ליישם תהליך אימות אבטחה רציף.

אימות האבטחה משתמש בפעולות ובתסריטים שמדמים טכניקות של תוקפים כדי להפעיל התראות על זיהוי בפרויקטים שלכם ב- Google Cloud . הפעלה רציפה מזהה נקודות חולשה, וצוותי האבטחה יכולים להפחית את הסיכון על ידי וידוא שההגדרות ואמצעי הבקרה מגיבים לאיומים האחרונים כמצופה.

השלמה מוצלחת של התהליך הזה מספקת הוכחה מדידה לשיפור מצב האבטחה, ומבטיחה שכללי הזיהוי או השילובים החדשים יפעלו בצורה תקינה ללא התערבות ידנית.

תרחישים נפוצים לדוגמה

בקטע הזה מפורטים תרחישים נפוצים לשימוש באימות אבטחה.

זיהוי רגרסיה במצב האבטחה

יעד: לזהות מתי התנהגות של תוקף שנחסמה בעבר מבוצעת בהצלחה בסביבה.

ערך: התראות לצוותי האבטחה והתפעול על שינויים לא מכוונים בהגדרות, כדי שיוכלו לתקן נקודות חולשה לפני שגורמים זדוניים ינצלו אותן לרעה.

אימות של כוונון אמצעי בקרה לאבטחה

המטרה: לוודא שכללי זיהוי או שילובים של מוצרים שהוטמעו לאחרונה פועלים כמצופה.

ערך: מספק הוכחה מדידה לכך שעדכוני הכללים או שינויים בסביבה שיפרו את מצב האבטחה, ומאפשר לצוותים לקבוע בביטחון קו בסיס חדש.

מונחים חשובים

  • הקשר של אימות האבטחה: הקשר של אימות האבטחה מגדיר את הסביבה לבדיקות האבטחה. הוא מציין באיזה פרויקט להשתמש, באיזה חשבון להריץ את הבדיקה ופרטים נוספים שנדרשים לפעולות שלכם.

  • פעולת אימות אבטחה: סקריפט שנועד לחקות טכניקות של תוקפים בעולם האמיתי, ומשמש להפעלת כללי זיהוי כדי לאמת את מצב האבטחה.

  • ביצוע בסיסי: הרצה ספציפית ומושלמת של אימות אבטחה שמשמשת כהפניה סטנדרטית להשוואה של הרצות עתידיות.

  • ניטור: משימה מתוזמנת (SecurityValidationJob ב-API) שמבצעת פעולת אימות אבטחה ומעריכה את התוצאות בהשוואה לנתוני בסיס מוגדרים.

  • סטטוס הסחף: אינדיקטור התקינות של כלי מעקב, שמבוסס על התאמה בין הביצועים האחרונים לבין נתוני הבסיס (תקינים) או על חריגה מהם (סחף מזוהה).

  • חלון הקורלציה: תקופה של 12 שעות אחרי ההפעלה, שבמהלכה המערכת מחפשת ומשייכת אירועים וזיהויים קשורים, על סמך תבנית מסנן האירועים במטא-נתונים של הפעולה שהופעלה.

  • זמן קצוב לתפוגה של מעקב: משך הזמן המקסימלי שהמערכת ממתינה אחרי ביצוע כדי לבצע קורלציה בין אירועים וזיהויים לפני הערכת סטטוס הסחף הסופי. הזמן הקצוב לתפוגה הזה פועל בתוך חלון המתאם הגדול יותר של 12 שעות. צריך לראות את התוצאות הצפויות לפני שהזמן הקצוב לתפוגה של המעקב הזה יגיע, כדי שהמעקב ייחשב כמוצלח. אם הבדיקות לא עוברות לפני פסק הזמן הזה, המערכת מסמנת את המוניטור כfailed. משך הזמן הזה מוגדר כברירת מחדל ל-8 שעות, אבל אפשר להגדיר אותו בין 15 דקות ל-10 שעות.

לפני שמתחילים

צריך לוודא שההגדרה וההרשאות הבאות קיימות.

הגדרה נדרשת

ודאו שההגדרה שלכם היא כזו:

  • צריך להפעיל את אימות האבטחה בדייר.

  • אימות האבטחה פועל רק עם פרויקטים בניהול עצמי.

  • צריך פרויקט אחד או שניים Google Cloud . אפשר להשתמש באותו פרויקט גם להרצה וגם לטירגוט, אבל מומלץ להשתמש בפרויקטים נפרדים כדי לשפר את האבטחה, לשמור על הניסויים נקיים ולפשט את ניהול ההגדרה.

    • פרויקט ההרצה: בדיקות האימות של האבטחה מורצות בפרויקט ההרצה. הוא משתמש ב-Cloud Run וב-Cloud Storage כדי לעשות את זה. העבודות והמאגדים האלה מיועדים לשימוש בשירות האימות בלבד. אסור להעניק למשתמשים אחרים גישה אליהם.

      כדי ליצור הקשר של אימות אבטחה לפרויקט, צריך להפעיל בו את Cloud Run API, ‏ Resource Manager API ו-IAM API, וצריכות להיות לכם ההרשאות resourcemanager.projects.SetIamPolicy,‏ storage.buckets.SetIamPolicy, ‏ storage.buckets.create ו-storage.buckets.delete. במאמר בנושא הרשאות IAM מופיעה רשימה של התפקידים שכוללים את ההרשאה הזו.

    • פרויקט היעד: הפרויקט שבו פועלות הקריאות ל-API שמתבצעות על ידי הסקריפט של פעולת אימות האבטחה. הצלחת הפעולות תלויה בשאלה אם ממשקי ה-API הנדרשים שבהם נעשה שימוש בפעולות מופעלים בפרויקט הזה, ובשאלה אם לחשבונות השירות בהקשר של אימות האבטחה יש את ההרשאות הנדרשות לגביהם.

  • חשבונות שירות: נדרש חשבון שירות אחד או יותר בפרויקט ההרצה. החשבונות האלה מריצים את סקריפטים של פעולות. לכל משתמש שצריך להריץ פעולה בהקשר מסוים, צריכה להיות ההרשאה iam.serviceAccounts.actAs בחשבונות השירות בהקשר הזה.

ההרשאות הנדרשות

מקצים אחד מהתפקידים המוגדרים מראש הבאים בפרויקט של מופע SecOps.

  • chronicle.viewer: הרשאת קריאה בלבד למשאבי פעולות, הקשרים, המשימות וההרצה של אימות האבטחה.

  • chronicle.editor: כולל את כל ההרשאות של viewer, ואת היכולת ליצור, לעדכן, להריץ ולמחוק הקשרים ומשימות של אימות אבטחה.

  • chronicle.admin: כולל את כל ההרשאות של editor, ואת היכולת ליצור, לעדכן ולמחוק פעולות מותאמות אישית של אימות אבטחה (API בלבד).

אם אתם לא משתמשים בתפקידים המוגדרים מראש שמפורטים למעלה, אתם יכולים להעניק הרשאות מקבילות באמצעות תפקיד בהתאמה אישית או על ידי הקצאת התפקיד chronicle.securityValidationAdmin, שכולל את אותן הרשאות כמו chronicle.admin.

מידע נוסף זמין במאמר בנושא התפקידים הנדרשים.

הטמעה של אימות אבטחה רציף

תהליך האימות של רמת האבטחה כולל התקדמות מובנית:

  • הגדרת הסביבה

  • ביצוע סימולציות כדי ליצור בסיס להשוואה

  • אוטומציה של הסימולציות כדי לזהות סחף.

תהליך העבודה הזה מבטיח שאמצעי הבקרה של האבטחה יישארו יעילים ככל שהסביבה תתפתח.

יצירת הקשר של אימות אבטחה

הקשר של אימות האבטחה מגדיר את הסביבה לבדיקות האבטחה. הוא מציין באיזה פרויקט להשתמש, באיזה חשבון להריץ את הבדיקה ופרטים נוספים שנדרשים לפעולות שלכם. אפשר להשתמש באותו הקשר לפעולות שונות.

כדי ליצור הקשר של אימות אבטחה:

  1. נכנסים ל-Google SecOps.

  2. עוברים אל Security Validation (אימות אבטחה) ואז אל הכרטיסייה Execution Contexts (הקשרים של ההפעלה).

  3. לוחצים על הוספת הקשר ביצוע.

  4. בתיבת הדו-שיח הוספת הקשר ביצוע, מבצעים את הפעולות הבאות:

    1. בקטע מאפיינים בסיסיים, מזינים את שם ההקשר ואת התיאור שלו ולוחצים על הבא.

    2. בקטע Environment Settings, מזינים את מזהה הפרויקט, את חשבון השירות של ההרצה ואת חשבון השירות של הניקוי. Google Cloud לוחצים על הבא.

      מומלץ להשתמש בחשבונות שירות נפרדים עבור action profile (להרצת סקריפטים של פעולות) ועבור setup/cleanup profile (להרצת סקריפטים של הגדרה וניקוי שמהווים חלק מפעולות מסוימות). אפשר להעניק לחשבונות השירות האלה הרשאות שונות בפרויקט היעד.

    3. בקטע Runtime Variables, מוסיפים משתנה אחד או יותר כדי לשנות באופן דינמי את פרמטרי ברירת המחדל. מוסיפים צמדי מפתח-ערך, כאשר key הוא שם הפרמטר ו-value הוא ערך ההחלפה שלו.

      Google Cloud
    4. לוחצים על יצירה.

הפעלת פעולת אימות אבטחה

כדי להפעיל פעולת אימות אבטחה בהקשר של אימות אבטחה, מבצעים את הפעולות הבאות:

  1. נכנסים ל-Google SecOps.

  2. עוברים אל אימות אבטחה ואז אל הכרטיסייה ספריית תוכן.

  3. בוחרים פעולה ולוחצים על הפעלה.

  4. בתיבת הדו-שיח, בוחרים את הקשר של ההפעלה שיצרתם ולוחצים על הפעלה עכשיו.

נוצרת הרצה חדשה שמופיעה בכרטיסייה היסטוריית ההרצות.

ניהול מוניטורים של אימות אבטחה

אפשר להריץ מחדש פעולות מוצלחות באופן אוטומטי על בסיס קבוע באמצעות התכונה 'מעקב'. הוא מאפשר ניטור רציף של מצב האבטחה ללא התערבות ידנית.

יצירת מעקב

אפשר ליצור כלי מעקב רק מביצוע שהושלם בהצלחה. כדי ליצור כלי מעקב מהרצה:

  1. נכנסים ל-Google SecOps.

  2. עוברים אל Security Validation ואז אל הכרטיסייה Execution history.

  3. לוחצים על מזהה הביצוע של ביצוע מסוים ואז על יצירת כלי מעקב.

  4. אופציונלי: בחלון יצירת צג, נותנים שם לצג.

    אם לא מזינים שם לניטור, הניטור יזוהה באמצעות מזהה ניטור.

    בודקים את פרטי הביצוע של התהליך הבסיסי שמוצגים בחלון הזה.

  5. לוחצים על הבא.

  6. קובעים את הגדרות המעקב.

    אפשר להפעיל את הכלי למעקב בזמנים ספציפיים או להפעיל אותו כל שעה.

    כדי להפעיל את הכלי 'מעקב' בזמנים ספציפיים:

    1. בתפריט הנפתח שעה, בוחרים באפשרות הפעלה בשעה ספציפית.

    2. מציינים את השעה בתיבת הטקסט הסמוכה.

    3. באפשרות ימים, בוחרים באחת מהאפשרויות הבאות:

      • יומי: הפעלה מדי יום בשעה שצוינה.

      • ימים בשבוע: ההפעלה מתבצעת רק בימים שנבחרו (לדוגמה, שני, רביעי, שישי) בשעה שצוינה.

      • יום בחודש: הפעלה פעם בחודש ביום שצוין (לדוגמה, ב-15 בחודש) בשעה שצוינה.

    4. בתפריט הנפתח Months (חודשים), בוחרים באפשרות Monthly (חודשי) כדי להפעיל את המעקב בכל חודש, או באפשרות Specific Months (חודשים ספציפיים) כדי לציין את החודשים המדויקים שבהם המעקב יופעל (לדוגמה, ינואר, אפריל, יולי).

    5. בתפריט הנפתח אזור זמן, בוחרים את אזור הזמן הרצוי. ברירת המחדל של השדה הזה היא אזור הזמן שמוגדר בהעדפות המשתמש (יכול להיות שהוא שונה מההגדרות בדפדפן). כדי למצוא או לשנות את הגדרת ברירת המחדל הזו, עוברים אל פרופיל > העדפות משתמש > לוקליזציה > אזור זמן.

    6. לוחצים על הבא.

    כדי להריץ את הכלי Monitor במרווחי זמן של שעה:

    1. בתפריט הנפתח Time (זמן), בוחרים באפשרות Repeat hourly (חזרה כל שעה).

    2. מגדירים את תדירות החזרה של מחזור הבדיקה בשדה hour(s) (שעות) ואת סימן הדקה הספציפי בשדה minute(s) (דקות). לדוגמה, אם מגדירים שעה ו-30 דקות, המעקב יתבצע כל שעה, 30 דקות אחרי תחילת השעה (ולא כל 90 דקות).

    3. באפשרות שעות, בוחרים באחת מהאפשרויות הבאות:

      • כל שעות היום: המעקב יפעל מסביב לשעון, בכל שעה ביום, על סמך התדירות שצוינה.

      • שעת התחלה ושעת סיום: הכלי 'מעקב' יפעל רק בטווח השעות שצוין (לדוגמה, בין 8:00 ל-17:00).

    4. באפשרות ימים, בוחרים באחת מהאפשרויות הבאות:

      • יומי: הפעלה מדי יום בשעה שצוינה.

      • ימים בשבוע: ההפעלה מתבצעת רק בימים שנבחרו (לדוגמה, ראשון, שלישי, חמישי) בשעה שצוינה.

      • יום בחודש: הפעלה פעם בחודש ביום שצוין (לדוגמה, ב-15 בחודש) בשעה שצוינה.

    5. בתפריט הנפתח Months (חודשים), בוחרים באפשרות Monthly (חודשי) כדי להפעיל את המעקב כל חודש, או באפשרות Specific Months (חודשים ספציפיים) כדי לציין את החודשים המדויקים שבהם המעקב יופעל (לדוגמה, ינואר, אפריל, יולי).

    6. בתפריט הנפתח אזור זמן, בוחרים את אזור הזמן הרצוי. ברירת המחדל של השדה הזה היא אזור הזמן שמוגדר בהעדפות המשתמש (יכול להיות שהוא שונה מההגדרות בדפדפן). כדי למצוא או לשנות את הגדרת ברירת המחדל הזו, עוברים אל פרופיל > העדפות משתמש > לוקליזציה > אזור זמן.

    7. לוחצים על הבא.

  7. בקטע Expected Outcomes (תוצאות צפויות), מסמנים את התנאים או מבטלים את הסימון שלהם לפי הצורך. צריך לבחור לפחות תנאי אחד.

    • תוצאת הפעולה תואמת לערך הבסיס: המערכת בודקת אם מצב הביצוע, התוצאה והסיבה לתוצאה תואמים לערך הבסיס. כדי שהבדיקה תחזיר את הערך True, כל שלושת הפרמטרים צריכים להיות זהים.

    • מוצרים עם אירועים מתואמים תואמים לנתוני הבסיס:

      • קיבוץ אירועים שקשורים למוצר.

      • הפונקציה בודקת שלכל מוצר שמופיע בערך הבסיסי יש לפחות אירוע אחד בהרצה הנוכחית.

      • הבדיקה מתעלמת מאירועים ממוצרים שלא כוללים אירועים בערך הבסיסי.

      • הערך שמתקבל הוא false אם אירועים שתואמים לנתוני הבסיס לא מגיעים לפני פסק הזמן.

    • התראות על כללי זיהוי מתואמים שתואמים ל-Baseline:

      • הזיהויים מקובצים לפי כלל ומצב ההתראה.

      • הפונקציה מאמתת שלביצוע הנוכחי יש לפחות זיהוי אחד מכלל הכללים שיש להם זיהויים בביצוע של קו הבסיס.

      • התעלמות מזיהויים מכללים שלא זוהו בהם חריגות בביצוע הבסיסי.

      • הפונקציה מחזירה את הערך false אם לא מתקבלים זיהויים שתואמים לנתוני הבסיס לפני פסק הזמן.

  8. לוחצים על יצירה כדי ליצור את הכלי למעקב.

הצגה והרצה של כלי מעקב

כדי לראות את המוניטור שיצרתם:

  1. עוברים אל אימות אבטחה ואז אל הכרטיסייה מעקב. חלק מהעמודות מוסתרות כברירת מחדל. כדי לנהל את חשיפת העמודות, לוחצים על Column manager.

  2. מאתרים את המוניטור הספציפי ברשימה.

  3. לוחצים על הקישור של הכלי למעקב כדי לפתוח את דף הפרטים שלו.

  4. לוחצים על הפעלה מיידית כדי להריץ את הכלי לניטור.

בדף הפרטים של המעקב מוצגת סקירה כללית מרכזית ברמה גבוהה של המעקב. הוא עוזר לכם להעריך את הסטטוס והתקינות הכוללים של המוניטור במבט חטוף. הוא מספק את הפרטים החשובים הבאים לגבי הכלי 'מעקב':

סיכום נתוני הבריאות

בכרטיסי המדדים הבאים מוצגת סקירה כללית של היציבות של הכלי 'מעקב':

  • מעקב אחרי סטטוס התקינות: מוצג הסטטוס הנוכחי על סמך ההפעלה האחרונה עם תוצאה סופית של הבדיקה (לדוגמה, Healthy) וכמה זמן הסטטוס הזה נשמר.

  • התוצאה האחרונה של בדיקה תקינה או לא תקינה: מצביע על ההפעלה האחרונה שבה חל שינוי מהערך הבסיסי.

  • רעננות התוצאות: מציג את הזמן שחלף מאז הביצוע האחרון עם סטטוס סופי של המעקב.

התוצאות הצפויות

בקטע הזה מוגדרים קריטריונים להצלחה שנגזרים מהביצוע של קו הבסיס.

  • תוצאה וסיבה של הפעולה: התוצאה והסיבה של הפעולה שתואמות לביצוע הבסיסי (לדוגמה, NOT_BLOCKED עם סיבה נלווית).

  • מוצרים שיצרו אירועים: רשימת המוצרים לאירועים מתואמים שתואמים לביצוע הבסיסי.

  • כללי זיהוי של התראות: רשימת כללי הזיהוי המתואמים של התראות שתואמים להרצת הבסיס.

בטבלה Monitor Results מוצגות כל ההרצות של ה-Monitor. הטבלה תומכת בחיפוש טקסט, בסינון ובהגדרת עמודות.

הפעלה או השבתה של כלי מעקב

כדי להפעיל או להשבית את המעקב:

  1. עוברים אל אימות אבטחה ואז אל הכרטיסייה מעקב.

  2. לוחצים על המתג סטטוס כדי להפעיל או להשבית את המעקב. לחלופין, אפשר ללחוץ על השהיית המעקב או על הפעלת המעקב מחדש בדף פרטי המעקב כדי לשנות את הסטטוס שלו.

שינוי או מחיקה של כלי מעקב

כדי לשנות או למחוק כלי מעקב:

  1. עוברים אל אימות אבטחה ואז אל הכרטיסייה מעקב.

  2. לוחצים על סמל התפריט לצד המעקב שרוצים לשנות.

  3. לוחצים על עריכת המוניטור כדי לשנות את המוניטור או על מחיקת המוניטור כדי למחוק אותו. אפשר גם ללחוץ על עריכת כלי המעקב בדף פרטי כלי המעקב כדי לשנות אותו.

  4. לוחצים על עדכון או על אישור כדי להחיל את השינויים.

בדיקת התוצאות של המעקב

כדי לראות את כל ההרצות של כלי המעקב:

  1. עוברים אל אימות אבטחה ואז אל הכרטיסייה מעקב.

  2. לוחצים על התפריט במסך 'מעקב'.

  3. לוחצים על הצגת כל התוצאות. יופיע הדף היסטוריית הביצוע.

ההפעלות מסוננות כך שיוצגו כל ההפעלות שמשויכות ל-Monitor הספציפי הזה.

הצגת התוצאות של ההרצה האחרונה

כדי לראות את תוצאות ההרצה האחרונה של כלי המעקב:

  1. עוברים אל אימות אבטחה ואז אל הכרטיסייה מעקב.

  2. לוחצים על התפריט במסך 'מעקב'.

  3. לוחצים על View last run results (הצגת תוצאות ההרצה האחרונה) כדי לפתוח את Execution details (פרטי ההרצה).

המערכת מציגה את הפרטים של ההרצה האחרונה שהופעלה עבור המוניטור הזה.

בדיקת תוצאות ההרצה

אפשר לראות את פעולת אימות האבטחה שמבצעים בכרטיסייה היסטוריית הביצוע. כדי לבדוק את תוצאות ההרצה:

  1. נכנסים ל-Google SecOps.

  2. עוברים אל אימות אבטחה ואז אל הכרטיסייה היסטוריית הביצוע כדי לעקוב אחרי סטטוס הביצוע.

    בעמודה סטטוס ההפעלה מצוין אם ההפעלה הצליחה או אם נתקלה בשגיאה. אם הפעולה הצליחה, תוכלו לראות את האירועים שנוצרו ואת הזיהויים שהופעלו על ידי פעולת אימות האבטחה ב-Google SecOps.

  3. לוחצים על מזהה ההפעלה כדי לראות את פרטי ההפעלה.

בדף פרטי הביצוע של הפעולה מוצגים הסטטוס, התוצאה וניתוח מעמיק של פעולת אימות. בדף הזה אפשר לאמת את מצב האבטחה שלכם על ידי הבנת כללי הזיהוי שהפעילות של הפעולה הפעילה.

התקדמות הקורלציה מציגה את התקדמות תהליך העבודה של הקורלציה בזמן אמת עבור ביצוע. במהלך הפעלת המתאם, יכול להיות שהמספר הכולל של האירועים יגדל עד לסיום המשימה.

ניתוח הטבלה Correlated Rules

בטבלה Correlated Rules (כללים שקשורים זה לזה) מפורטים כללי הזיהוי שהופעלו במהלך הביצוע של הפעולה, כולל כללים מותאמים אישית וכללים שנבחרו בקפידה.

בטבלה מוצגים כללים מותאמים אישית וכללים שנבחרו על ידי Google. היא כוללת שתי קבוצות: * כללים שהוגדרו באופן מפורש במטא-נתונים של הפעולה * כללים נוספים שהופעלו על ידי אירועים קשורים

כך תוכלו לזהות אילו כללים פעלו כמצופה ואילו כללים כדאי לבדוק לעומק.

הטבלה כוללת את העמודות הבאות:

  • שם הכלל: השם של כלל הזיהוי. לוחצים על שם הכלל כדי לראות את ההגדרה שלו ואת היסטוריית הזיהוי שלו.

  • מספר הזיהויים: מספר הזיהויים שהופעלו על ידי הכלל. הערך 0 מציין שלא נמצאו אירועים תואמים.

  • זיהויים: קישור לדף זיהויים שבו מוצגים זיהויים שהופעלו מההרצה הזו.

  • משויך לפעולה: מציין אם הכלל היה חלק מהמטא-נתונים של הפעולה:

    • כן: המטא-נתונים של הפעולה כוללים את הכלל. המערכת מצפה שהטריגר יופעל כשהפעולה תתבצע.

    • לא: המטא-נתונים של הפעולה הזו לא כוללים את הכלל, אבל הלוגיקה שלה התאימה לאירועים שנוצרו והפעילה אותו.

הטבלה הזו עוזרת לכם לזהות את התוצאות:

העמודה 'פעולה' עמודה של ספירת הזיהוי מה המשמעות של
YES 1 או יותר הצלחה: כלל צפוי הפעיל בהצלחה זיהוי אחד או יותר.
NO 1 או יותר הפעילות הפעילה כלל לא צפוי.
YES 0 כלל צפוי לא הפעיל זיהויים.

ניתוח אירועים שקשורים זה לזה

אחרי שמריצים פעולת אימות אבטחה, משתמשים באירועים המתואמים כדי להעריך איך הסביבה ואמצעי הבקרה של האבטחה הגיבו לאיום המדומה.

הניתוח כולל שני רכיבים: סטטוס בזמן אמת של תהליך העבודה של המתאם וטבלה מפורטת של כל האירועים שנוצרו.

בסטטוס של קורלציית האירועים מוצג המצב הנוכחי של תהליך העבודה כאחת מהאפשרויות הבאות:

  • פועל: המערכת מחפשת באופן פעיל אירועים שקשורים זה לזה.

  • הושלם: כל הפעילויות של קורלציית האירועים הושלמו בהצלחה.

  • שגיאה: תהליך העבודה של הקורלציה נתקל בשגיאה ולא הצליח להסתיים.

ההודעה Correlation workflow complete at מציינת את הזמן המשוער שבו המתאם צפוי להסתיים או הסתיים.

בטבלת האירועים מפורטים כל האירועים שנוצרו על ידי הפעולה. אפשר להשתמש בנתונים האלה כדי לנתח תשובות ספציפיות בסביבה שלכם ובאמצעי הבקרה של האבטחה.

הטבלה כוללת את העמודות הבאות:

  • אירוע: מזהה האירוע. לוחצים כדי להציג את פרטי האירוע בחיפוש UDM.

  • חותמת הזמן של האירוע: השעה שבה האירוע התרחש במערכת המקור (לדוגמה, השרת או חומת האש).

  • חותמת זמן שנצפתה: השעה שבה שירות אימות האבטחה מצא את האירוע וקישר אותו להרצה.

  • מוצר: המוצר שיצר את האירוע.

  • פעולה בתוצאת האבטחה: התוצאה של האירוע (Blocked או Not blocked), על סמך השדה security_result.action של אירוע UDM.

יכול להיות שהפעולות יטרגטו אזורים מחוץ למופע Google SecOps שבו הן מופעלות. בתוצאות הביצוע מוצגים יומנים שאוחזרו מפרויקט הביצוע.

גישה לנכסים ולהפניות מתקדמים

עיינו בנכסים הבאים לדוגמאות הגדרה ומיפוי נתוני הפניה.

יישום לדוגמה: יצירת אסימון גישה באמצעות signJWT

נניח שרוצים להשתמש בפעולה Generate access token using signJWT permission. בדוגמה הזו אנחנו מניחים שכבר הגדרתם הקשר של אימות אבטחה ואתם מריצים את הפעולה בהקשר הזה. הפעולה אמורה ליצור יומני ביקורת של Cloud ולהפעיל את יצירת אסימון הגישה באמצעות כלל זיהוי האיומים signJWT.

נדרשת ההגדרה הבאה:

  • ממשקי API מופעלים: צריך להפעיל את Service Account Credentials API (ממשק API של פרטי כניסה לחשבון שירות) בשני הפרויקטים: היעד והביצוע.

  • הרשאות לחשבון השירות: לחשבון השירות שצוין בשדה profile בהקשר של אימות האבטחה צריכה להיות ההרשאה iam.serviceAccounts.signJwt בפרויקט היעד. אפשר להעניק את ההרשאה הזו באמצעות התפקיד 'יצירת אסימונים בחשבון שירות' (roles/iam.serviceAccountTokenCreator). אפשר להעניק את התפקיד הזה בפרויקט או בחשבון השירות של היעד (שבמקרה הזה הוא חשבון השירות שמוגדר כברירת מחדל של Compute Engine בפרויקט היעד).

  • רישום ביומן הביקורת של IAM: צריך להפעיל רישום ביומן הביקורת של IAM‏ (ADMIN_READ) בפרויקט היעד כדי לתעד את האירועים שנוצרים מהפעולה הזו.

  • מסנן ייצוא בהתאמה אישית: כדי להטמיע את האירועים שנוצרו על ידי הפעולה הזו באמצעות הטמעה ב-SecOps, צריך להגדיר מסנן ייצוא בהתאמה אישית שכולל את log_id("cloudaudit.googleapis.com/data_access"). Google Cloud

  • קבוצת כללים: צריך להפעיל את קבוצת הכללים Cloud Threats -> [Google Cloud] IAM Abuse ולהגדיר אותה להצגת התראות כדי לראות את הזיהויים בתצוגת החיפוש והחקירה.

דוגמאות לתזמון של מעקב

אפשר להשתמש בדוגמאות האלה כהפניה כשמגדירים לוחות זמנים חוזרים לניטור רציף.

הגדרות אישיות מתי היא פועלת
שעה: הפעלה בשעה ספציפית (22:00)
ימים: ימים בשבוע (יום שני)
חודשים: חודשי
אזור זמן: EST
הכלל יפעל בכל יום שני בשעה 22:00 לפי שעון החוף המזרחי.
שעה: הפעלה בשעה ספציפית (01:00)
ימים: יום בחודש (1)
חודשים: ציון חודשים (ינואר, אפריל, יולי, אוקטובר)
אזור זמן: PST
הפעולה מתבצעת בשעה 1:00 לפנות בוקר לפי שעון החוף המערבי בארה"ב ביום הראשון של ינואר, אפריל, יולי ואוקטובר.
שעה: הפעלה בשעה ספציפית (14:00)
ימים: יומי
חודשים: חודשי
אזור זמן: UTC
הפעולה מתבצעת כל יום בשעה 14:00 לפי אזור זמן אוניברסלי מתואם (UTC).
שעה: הפעלה בשעה ספציפית (09:30)
ימים: יום בחודש (15)
חודשים: בחירה (פברואר, אפריל, יוני, אוגוסט, אוקטובר, דצמבר)
אזור זמן: EST
הפעולה מתבצעת ב-15 בכל חודש שני (פברואר, אפריל, יוני, אוגוסט, אוקטובר, דצמבר) בשעה 9:30 לפי שעון החוף המזרחי בארה"ב (EST).
שעה: חזרה כל שעה
מרווח: כל שעה
שעות: כל השעות
פועל ללא הפסקה. הפעולה מתבצעת בדיוק בתחילת כל שעה, 24 שעות ביממה (לדוגמה, 1:00,‏ 2:00,‏ 3:00 וכן הלאה).
שעה: חזרה מדי שעה
מרווח: כל 4 שעות
שעות: שעת התחלה ושעת סיום (22:00 עד 6:00)
פועל רק בלילה. הסקריפט מופעל בשעות 22:00, 2:00 ו-6:00 כדי לתעד את סטטוס השרת בתקופות של תנועה נמוכה.

פתרון בעיות

זמן אחזור ומגבלות

בגלל חלון הקורלציה, תוצאות של הפעלות חדשות של כלי המעקב לא מתעדכנות מיד בנתוני זיהוי ובנתוני אירועים.

תיקון שגיאות

שגיאה תיאור הבעיה תיקון
שגיאת הרשאה ב-IAM ההרשאה iam.serviceaccounts.actAs נדחתה בחשבון השירות. אם יצרתם או עדכנתם את ההקשר ממש לפני שהפעלתם את הפעולה, כדאי להמתין כמה דקות ולנסות שוב. השינויים ב-IAM עקביים, אבל יכול לעבור זמן עד שהקצאות התפקידים יתעדכנו בכל המערכת.

צריך לוודא שלזהות שמפעילה את הפעולה יש את ההרשאה iam.serviceaccounts.actAs בחשבון השירות שצוין.

אימות ובדיקה

כדי לוודא שהכלי לניטור מוגדר בצורה נכונה בלי לחכות למרווח הזמן המתוזמן הבא, אפשר להשתמש בלחצן Run now (הפעלה) בדף הפרטים של הכלי לניטור. אחרי שחלון ההתאמה מסתיים, מרעננים את הדף כדי לוודא מה סטטוס ההפעלה.