Sicherheitskontrollen und ‑konfigurationen validieren

Dieser Leitfaden richtet sich an Sicherheitsentwickler, die ihre Sicherheit proaktiv testen möchten, indem sie Angriffe in ihrer Google Cloud Umgebung simulieren. Darin wird erläutert, wie Sie eine kontinuierliche Sicherheitsvalidierung implementieren.

Bei der Sicherheitsvalidierung werden Aktionen und Skripts verwendet, die Angreifertechniken nachahmen, um Erkennungsbenachrichtigungen in Ihren Google Cloud -Projekten auszulösen. Durch den kontinuierlichen Betrieb werden Sicherheitslücken erkannt und Sicherheitsteams können das Risiko verringern, indem sie dafür sorgen, dass Konfigurationen und Einstellungen wie erwartet auf die neuesten Bedrohungen reagieren.

Wenn Sie diese Schritte erfolgreich durchlaufen haben, erhalten Sie einen messbaren Nachweis für eine verbesserte Sicherheitslage. Außerdem wird sichergestellt, dass neu implementierte Erkennungsregeln oder Integrationen ohne manuellen Eingriff korrekt funktionieren.

Gängige Anwendungsfälle

In diesem Abschnitt werden häufige Anwendungsfälle für die Sicherheitsvalidierung aufgeführt.

Verschlechterung des Sicherheitsstatus erkennen

Ziel: Erkennen, wann ein zuvor blockiertes Angreiferverhalten erfolgreich in der Umgebung ausgeführt wird.

Wert: Sicherheits- und Betriebsteams werden auf unbeabsichtigte Konfigurationsabweichungen aufmerksam gemacht, sodass sie Sicherheitslücken beheben können, bevor sie ausgenutzt werden.

Abstimmung der Sicherheitskontrollen validieren

Ziel: Bestätigen, dass neu implementierte Erkennungsregeln oder Produktintegrationen wie erwartet funktionieren.

Wert: Bietet messbare Beweise dafür, dass Regelaktualisierungen oder Umgebungsänderungen den Sicherheitsstatus erfolgreich verbessert haben, sodass Teams eine neue Baseline festlegen können.

Schlüsselterminologie

  • Sicherheitsvalidierungskontext: Ein Sicherheitsvalidierungskontext richtet die Umgebung für Ihre Sicherheitstests ein. Darin wird angegeben, welches Projekt verwendet werden soll, mit welchem Konto der Test ausgeführt werden soll und welche anderen Details für Ihre Aktionen erforderlich sind.

  • Sicherheitsvalidierungsaktion: Ein Skript, das entwickelt wurde, um die Techniken von Angreifern in der realen Welt nachzuahmen. Es wird verwendet, um Erkennungsregeln auszulösen und so Ihren Sicherheitsstatus zu überprüfen.

  • Basisausführung: Ein bestimmter, abgeschlossener Security Validation-Lauf, der als Standardreferenz für den Vergleich zukünftiger Ausführungen verwendet wird.

  • Monitor: Ein geplanter Job (SecurityValidationJob in der API), der eine Sicherheitsvalidierungsaktion ausführt und die Ergebnisse anhand einer definierten Baseline bewertet.

  • Drift-Status: Der Gesundheitsindikator eines Monitors, der darauf basiert, ob die letzten Ausführungen mit der Baseline (intakt) übereinstimmen oder Abweichungen aufweisen (Drift erkannt).

  • Korrelationszeitraum: Der 12-Stunden-Zeitraum nach einer Ausführung, in dem das System anhand der Ereignisfiltervorlage in den Metadaten der ausgeführten Aktion nach zugehörigen Ereignissen und Erkennungen sucht und diese zuordnet.

  • Zeitüberschreitung für Monitor: Die maximale Dauer, die das System nach einer Ausführung wartet, bis Ereignisse und Erkennungen korreliert werden, bevor der endgültige Driftstatus ausgewertet wird. Dieses Zeitlimit gilt innerhalb des größeren 12-Stunden-Korrelationszeitfensters. Die erwarteten Ergebnisse müssen beobachtet werden, bevor das Zeitlimit für diesen Monitor erreicht wird, damit der Monitor als erfolgreich gilt. Wenn die Prüfungen vor diesem Zeitlimit nicht bestanden werden, kennzeichnet das System den Monitor als failed. Die Dauer beträgt standardmäßig 8 Stunden, kann aber zwischen 15 Minuten und 10 Stunden konfiguriert werden.

Hinweis

Prüfen Sie, ob die folgenden Einstellungen und Berechtigungen vorhanden sind.

Erforderliche Einrichtung

Prüfen Sie, ob Folgendes eingerichtet ist:

  • In Ihrem Mandanten muss die Sicherheitsvalidierung aktiviert sein.

  • Die Sicherheitsvalidierung funktioniert nur mit selbstverwalteten Projekten.

  • Sie benötigen ein oder zwei Google Cloud Projekte. Sie können zwar dasselbe Projekt für die Ausführung und das Targeting verwenden, wir empfehlen jedoch, separate Projekte zu verwenden, um die Sicherheit zu erhöhen, Ihre Tests sauber zu halten und die Verwaltung Ihrer Einrichtung zu vereinfachen.

    • Ausführungsprojekt: Security Validation führt Ihre Sicherheitstests im Ausführungsprojekt aus. Dazu werden Cloud Run und Cloud Storage verwendet. Diese Jobs und Buckets sind nur für die Verwendung durch den Validierungsdienst vorgesehen. Andere Nutzer sollten keinen Zugriff darauf erhalten.

      Die Cloud Run API, die Resource Manager API und die IAM API müssen in diesem Projekt aktiviert sein. Außerdem benötigen Sie die Berechtigungen resourcemanager.projects.SetIamPolicy, storage.buckets.SetIamPolicy, storage.buckets.create und storage.buckets.delete, um einen Sicherheitsvalidierungskontext dafür zu erstellen. Eine Liste der Rollen, die diese Berechtigung bieten, finden Sie in der Referenz für IAM-Berechtigungen.

    • Zielprojekt: Hier werden die API-Aufrufe ausgeführt, die vom Sicherheitsvalidierungsaktionsskript vorgenommen werden. Der Erfolg von Aktionen hängt davon ab, ob die erforderlichen APIs, die von den Aktionen verwendet werden, in diesem Projekt aktiviert sind und ob die Dienstkonten im Sicherheitsvalidierungskontext die erforderlichen Berechtigungen für sie haben.

  • Dienstkonten: Erfordert mindestens ein Dienstkonto im Ausführungsprojekt. Über diese Konten werden die Aktionsskripts ausgeführt. Jeder Nutzer, der eine Aktion mit einem bestimmten Kontext ausführen muss, muss die Berechtigung iam.serviceAccounts.actAs für die Dienstkonten in diesem Kontext haben.

Erforderliche Berechtigungen

Weisen Sie eine der folgenden vordefinierten Rollen in Ihrem SecOps-Instanzprojekt zu.

  • chronicle.viewer: Schreibgeschützter Zugriff auf Security Validation-Aktionen, ‑Kontexte, ‑Jobs und ‑Ausführungsressourcen.

  • chronicle.editor: Enthält alle viewer-Berechtigungen sowie die Möglichkeit, Sicherheitsvalidierungskontexte und ‑jobs zu erstellen, zu aktualisieren, auszuführen und zu löschen.

  • chronicle.admin: Enthält alle editor-Berechtigungen sowie die Möglichkeit, benutzerdefinierte Sicherheitsvalidierungsaktionen zu erstellen, zu aktualisieren und zu löschen (nur API).

Wenn Sie die oben aufgeführten vordefinierten Rollen nicht verwenden, können Sie entsprechende Berechtigungen mit einer benutzerdefinierten Rolle oder durch Zuweisen der Rolle chronicle.securityValidationAdmin erteilen, die dieselben Berechtigungen wie chronicle.admin enthält.

Weitere Informationen finden Sie unter Erforderliche Rollen.

Kontinuierliche Sicherheitsvalidierung implementieren

Die Validierung Ihres Sicherheitsstatus umfasst eine strukturierte Vorgehensweise:

  • Umgebung definieren

  • Simulationen ausführen, um eine Baseline zu erstellen

  • Simulationen automatisieren, um Abweichungen zu erkennen.

Dieser Workflow sorgt dafür, dass Ihre Sicherheitskontrollen auch dann effektiv bleiben, wenn sich Ihre Umgebung weiterentwickelt.

Security Validation-Kontext erstellen

In einem Security Validation-Kontext wird die Umgebung für Ihre Sicherheitstests eingerichtet. Darin wird angegeben, welches Projekt verwendet werden soll, mit welchem Konto der Test ausgeführt werden soll und welche anderen Details für Ihre Aktionen erforderlich sind. Sie können denselben Kontext für verschiedene Aktionen wiederverwenden.

So erstellen Sie einen Kontext für die Sicherheitsvalidierung:

  1. Melden Sie sich in Google SecOps an.

  2. Rufen Sie Security Validation auf und wechseln Sie zum Tab Execution Contexts (Ausführungskontexte).

  3. Klicken Sie auf Ausführungskontext hinzufügen.

  4. Führen Sie im Dialogfeld Ausführungskontext hinzufügen die folgenden Schritte aus:

    1. Geben Sie unter Grundeigenschaften den Kontextnamen und die Beschreibung ein und klicken Sie auf Weiter.

    2. Geben Sie unter Environment Settings (Umgebungseinstellungen) die Projekt-ID Google Cloud , das Ausführungsdienstkonto und das Bereinigungsdienstkonto ein. Klicken Sie auf Weiter.

      Wir empfehlen, separate Dienstkonten für action profile (zum Ausführen von Aktionsskripts) und für setup/cleanup profile (zum Ausführen der Einrichtungs- und Bereinigungsskripts, die Teil einiger Aktionen sind) zu verwenden. Diesen Dienstkonten können im Zielprojekt unterschiedliche Berechtigungen erteilt werden.

    3. Fügen Sie unter Laufzeitvariablen eine oder mehrere Variablen hinzu, um Standardparameter dynamisch zu überschreiben. Fügen Sie Schlüssel/Wert-Paare hinzu, wobei key der Parametername und value der Überschreibungswert ist.

    4. Klicken Sie auf Erstellen.

Aktion zur Sicherheitsprüfung ausführen

So führen Sie eine Aktion zur Sicherheitsprüfung für einen Kontext zur Sicherheitsprüfung aus:

  1. Melden Sie sich in Google SecOps an.

  2. Rufen Sie Sicherheitsüberprüfung und dann den Tab Inhaltsbibliothek auf.

  3. Wählen Sie eine Aktion aus und klicken Sie auf Ausführen.

  4. Wählen Sie im Dialogfeld den erstellten Ausführungskontext aus und klicken Sie auf Jetzt ausführen.

Eine neue Ausführung wird erstellt und auf dem Tab Ausführungsverlauf angezeigt.

Monitore für die Sicherheitsvalidierung verwalten

Mit der Monitorfunktion können Sie erfolgreiche Aktionen regelmäßig automatisch wiederholen lassen. So ist ein kontinuierliches Monitoring des Sicherheitsstatus ohne manuellen Eingriff möglich.

Monitor erstellen

Sie können einen Monitor nur aus einer erfolgreich abgeschlossenen Ausführung erstellen. So erstellen Sie einen Monitor aus einer Ausführung:

  1. Melden Sie sich in Google SecOps an.

  2. Rufen Sie Sicherheitsvalidierung und dann den Tab Ausführungsverlauf auf.

  3. Klicken Sie auf die Ausführungs-ID einer Ausführung und dann auf Monitor erstellen.

  4. Optional: Geben Sie im Fenster Monitor erstellen einen Namen für den Monitor ein.

    Wenn Sie keinen Monitornamen eingeben, wird auf den Monitor über eine Monitor-ID verwiesen.

    Sehen Sie sich die Ausführungsdetails der Referenz an, die in diesem Fenster angezeigt werden.

  5. Klicken Sie auf Weiter.

  6. Konfigurieren Sie die Monitoreinstellungen.

    Sie können einen Monitor entweder zu bestimmten Zeiten oder stündlich ausführen.

    So führen Sie den Monitor zu bestimmten Zeiten aus:

    1. Wählen Sie im Drop-down-Menü Zeit die Option Zu einem bestimmten Zeitpunkt ausführen aus.

    2. Geben Sie die Uhrzeit im angrenzenden Textfeld an.

    3. Wählen Sie unter Tage eine der folgenden Optionen aus:

      • Täglich: Wird jeden Tag zur angegebenen Zeit ausgeführt.

      • Wochentage: Wird nur an ausgewählten Tagen (z. B. Mo, Mi, Fr) zur angegebenen Zeit ausgeführt.

      • Tag des Monats: Wird einmal im Monat am angegebenen Tag (z. B. am 15.) zur angegebenen Uhrzeit ausgeführt.

    4. Wählen Sie im Drop-down-Menü Monate entweder Monatlich (für die Ausführung jeden Monat) oder Bestimmte Monate aus, um die genauen Monate anzugeben, in denen der Monitor ausgeführt werden soll (z. B. Januar, April, Juli).

    5. Wählen Sie im Drop-down-Menü Zeitzone die gewünschte Zeitzone aus. In diesem Feld wird standardmäßig die Zeitzone verwendet, die in Ihren Nutzereinstellungen festgelegt ist. Diese kann von Ihren Browsereinstellungen abweichen. Sie können diese Standardeinstellung unter Profil > Nutzereinstellungen > Lokalisierung > Zeitzone aufrufen oder ändern.

    6. Klicken Sie auf Weiter.

    So führen Sie den Monitor stündlich aus:

    1. Wählen Sie im Drop-down-Menü Zeit die Option Stündlich wiederholen aus.

    2. Legen Sie die Wiederholungshäufigkeit des Monitorzyklus im Feld Stunde(n) und die spezifische Minutenzahl im Feld Minute(n) fest. Wenn Sie beispielsweise 1 Stunde und 30 Minuten festlegen, wird der Monitor jede Stunde um 30 Minuten nach der vollen Stunde ausgeführt (NICHT alle 90 Minuten).

    3. Wählen Sie unter Öffnungszeiten eine der folgenden Optionen aus:

      • Zu jeder Tageszeit:Der Monitor wird rund um die Uhr und entsprechend der angegebenen Häufigkeit ausgeführt.

      • Start- und Endzeit:Der Monitor wird nur innerhalb des angegebenen Zeitbereichs ausgeführt (z. B. zwischen 8:00 Uhr und 17:00 Uhr).

    4. Wählen Sie unter Tage eine der folgenden Optionen aus:

      • Täglich: Wird jeden Tag zur angegebenen Zeit ausgeführt.

      • Wochentage: Wird nur an ausgewählten Tagen (z. B. Mo, Mi, Fr) zur angegebenen Zeit ausgeführt.

      • Tag des Monats: Wird einmal im Monat am angegebenen Tag (z. B. am 15.) zur angegebenen Uhrzeit ausgeführt.

    5. Wählen Sie im Drop-down-Menü Monate entweder Monatlich (für die Ausführung jeden Monat) oder Bestimmte Monate aus, um die genauen Monate anzugeben, in denen der Monitor ausgeführt werden soll (z. B. Januar, April, Juli).

    6. Wählen Sie im Drop-down-Menü Zeitzone die gewünschte Zeitzone aus. In diesem Feld wird standardmäßig die Zeitzone verwendet, die in Ihren Nutzereinstellungen festgelegt ist. Diese kann von Ihren Browsereinstellungen abweichen. Sie können diese Standardeinstellung unter Profil > Nutzereinstellungen > Lokalisierung > Zeitzone aufrufen oder ändern.

    7. Klicken Sie auf Weiter.

  7. Aktivieren oder deaktivieren Sie unter Erwartete Ergebnisse die Bedingungen nach Bedarf. Sie müssen mindestens eine Bedingung auswählen.

    • Ergebnis der Aktion entspricht der Referenz:Hier wird geprüft, ob der Ausführungsstatus, das Ergebnis und der Grund für das Ergebnis mit der Referenz übereinstimmen. Alle drei Parameter müssen übereinstimmen, damit die Prüfung als „true“ ausgewertet wird.

    • Korrelierte Ereignisprodukte stimmen mit Referenz überein:

      • Gruppiert korrelierte Ereignisse nach Produkt.

      • Prüft, ob für jedes Produkt, das in der Baseline aufgeführt ist, mindestens ein Ereignis in der aktuellen Ausführung vorhanden ist.

      • Bei der Prüfung werden Ereignisse von Produkten ignoriert, für die in der Baseline keine Ereignisse vorhanden sind.

      • Der Wert ist false, wenn Ereignisse, die der Baseline entsprechen, nicht vor dem Zeitlimit eintreffen.

    • Benachrichtigungen korrelierter Erkennungsregeln stimmen mit der Referenz überein:

      • Gruppiert Erkennungen nach Regel und Benachrichtigungsstatus.

      • Prüft, ob bei der aktuellen Ausführung mindestens eine Erkennung aus einer Regel vorliegt, die in der Baseline-Ausführung Erkennungen hat.

      • Erkennungen aus Regeln werden ignoriert, die in der Referenzausführung keine Erkennungen haben.

      • Wird mit false ausgewertet, wenn Erkennungen, die der Baseline entsprechen, nicht vor dem Zeitlimit eintreffen.

  8. Klicken Sie auf Erstellen, um den Monitor zu erstellen.

Monitor ansehen und ausführen

So rufen Sie einen erstellten Monitor auf:

  1. Rufen Sie Security Validation (Sicherheitsvalidierung) auf und gehen Sie zum Tab Monitors (Monitore). Einige Spalten sind standardmäßig ausgeblendet. Klicken Sie auf  Spaltenmanager, um die Spaltensichtbarkeit zu verwalten.

  2. Suchen Sie in der Liste nach Ihrem Monitor.

  3. Klicken Sie auf den Link für den Monitor, um die Seite mit den Monitordetails zu öffnen.

  4. Klicken Sie auf Jetzt ausführen, um den Monitor auszuführen.

Die Monitor-Detailseite bietet einen zentralen, allgemeinen Überblick über den Monitor. So können Sie den Gesamtstatus und den Zustand eines Monitors auf einen Blick beurteilen. Sie enthält die folgenden wichtigen Informationen zum Monitor:

Gesundheitszusammenfassung

Die folgenden Messwertkarten bieten einen allgemeinen Überblick über die Stabilität des Monitors:

  • Zustand überwachen: Hier wird der aktuelle Zustand basierend auf der letzten Ausführung mit einem endgültigen Monitorergebnis (z. B. Healthy) angezeigt und wie lange dieser Zustand schon besteht.

  • Letztes fehlerfreies oder fehlerhaftes Ergebnis: Verweist auf die letzte Ausführung, die von der Baseline abgewichen ist.

  • Aktualität der Ergebnisse: Gibt die Zeit an, die seit der letzten Ausführung mit einem endgültigen Monitorstatus vergangen ist.

Erwartete Ergebnisse

In diesem Abschnitt werden die Erfolgskriterien definiert, die aus der Baseline-Ausführung abgeleitet werden.

  • Ergebnis und Grund der Aktion: Das Ergebnis und der Grund der Aktion, die der Ausführung der Baseline entsprechen (z. B. NOT_BLOCKED mit einem zugehörigen Grund).

  • Produkte, die Ereignisse generiert haben: Die Liste der Produkte für korrelierte Ereignisse, die mit der Baseline-Ausführung übereinstimmen.

  • Erkennungsregeln für Benachrichtigungen: Die Liste der korrelierten Erkennungsregeln für Benachrichtigungen, die mit der Referenzausführung übereinstimmen.

In der Tabelle Monitorergebnisse werden alle Ausführungen für den Monitor angezeigt. Die Tabelle unterstützt die Textsuche, das Filtern und die Spaltenkonfiguration.

Monitor aktivieren oder deaktivieren

So aktivieren oder deaktivieren Sie einen Monitor:

  1. Rufen Sie Security Validation (Sicherheitsvalidierung) auf und gehen Sie zum Tab Monitors (Monitore).

  2. Klicken Sie auf den Status-Schalter, um einen Monitor zu aktivieren oder zu deaktivieren. Alternativ können Sie auf der Seite Monitor details (Monitordetails) auf Pause Monitor (Monitor pausieren) oder Restart Monitor (Monitor neu starten) klicken, um den Status zu ändern.

Monitor ändern oder löschen

So ändern oder löschen Sie einen Monitor:

  1. Rufen Sie Security Validation (Sicherheitsvalidierung) auf und gehen Sie zum Tab Monitors (Monitore).

  2. Klicken Sie auf das -Menü des Monitors, den Sie ändern möchten.

  3. Klicken Sie auf Monitor bearbeiten, um den Monitor zu ändern, oder auf Monitor löschen, um den Monitor zu löschen. Sie können den Monitor auch auf der Seite Monitordetails bearbeiten, indem Sie auf Monitor bearbeiten klicken.

  4. Klicken Sie auf Aktualisieren oder Bestätigen, um die Änderungen zu übernehmen.

Monitorergebnisse prüfen

So rufen Sie alle Ausführungen eines Monitors auf:

  1. Rufen Sie Security Validation (Sicherheitsvalidierung) auf und gehen Sie zum Tab Monitors (Monitore).

  2. Klicken Sie auf dem Monitor auf das -Menü.

  3. Klicken Sie auf Alle Ergebnisse ansehen. Die Seite Ausführungsverlauf wird angezeigt.

Die Ausführungen werden gefiltert, um alle Ausführungen anzuzeigen, die mit diesem Monitor verknüpft sind.

Ergebnisse der letzten Ausführung ansehen

So rufen Sie die Ergebnisse der letzten Ausführung eines Monitors auf:

  1. Rufen Sie Security Validation (Sicherheitsvalidierung) auf und gehen Sie zum Tab Monitors (Monitore).

  2. Klicken Sie auf dem Monitor auf das -Menü.

  3. Klicken Sie auf Ergebnisse des letzten Laufs ansehen, um die Ausführungsdetails zu öffnen.

Das System zeigt die Details der letzten Ausführung an, die für diesen Monitor ausgeführt wurde.

Ausführungsergebnisse prüfen

Die von Ihnen ausgeführte Security Validation-Aktion können Sie sich auf dem Tab Ausführungsverlauf ansehen. So prüfen Sie die Ausführungsergebnisse:

  1. Melden Sie sich in Google SecOps an.

  2. Rufen Sie Security Validation (Sicherheitsvalidierung) auf und gehen Sie zum Tab Execution History (Ausführungsverlauf), um den Ausführungsstatus zu überwachen.

    In der Spalte Ausführungsstatus sehen Sie, ob die Ausführung erfolgreich war oder ein Fehler aufgetreten ist. Wenn die Aktion erfolgreich war, können Sie die generierten Ereignisse und die von der Aktion zur Sicherheitsprüfung ausgelösten Erkennungen in Google SecOps ansehen.

  3. Klicken Sie auf die Ausführungs-ID, um die Ausführungsdetails aufzurufen.

Auf der Seite Details zur Ausführung von Aktionen finden Sie den Status, das Ergebnis und eine detaillierte Analyse einer Validierungsaktion. Auf dieser Seite können Sie Ihre Sicherheitslage überprüfen, indem Sie nachvollziehen, welche Erkennungsregeln durch die Aktivität der Aktion ausgelöst wurden.

Unter Korrelationsfortschritt sehen Sie den Fortschritt des Korrelationsworkflows in Echtzeit für eine Ausführung. Während der Korrelationsanalyse kann die Gesamtzahl der Ereignisse steigen, bis die Aufgabe abgeschlossen ist.

Tabelle „Korrelierte Regeln“ analysieren

In der Tabelle Correlated Rules (Korrelierte Regeln) werden Erkennungsregeln aufgeführt, die während der Ausführung der Aktion ausgelöst wurden, einschließlich benutzerdefinierter und kuratierter Regeln.

In der Tabelle werden sowohl benutzerdefinierte als auch kuratierte Regeln angezeigt. Sie umfasst zwei Gruppen: * Regeln, die explizit in den Metadaten der Aktion definiert sind * Zusätzliche Regeln, die durch korrelierte Ereignisse ausgelöst werden

So können Sie feststellen, welche Regeln wie erwartet ausgeführt wurden und welche möglicherweise genauer untersucht werden müssen.

Die Tabelle enthält die folgenden Spalten:

  • Regelname:Name der Erkennungsregel. Klicken Sie auf den Namen der Regel, um die Regeldefinition und den zugehörigen Erkennungsverlauf aufzurufen.

  • Anzahl der Erkennungen:Anzahl der Erkennungen, die durch die Regel ausgelöst wurden. Der Wert 0 bedeutet, dass keine übereinstimmenden Ereignisse gefunden wurden.

  • Erkennungen:Link zur Seite Erkennungen, auf der ausgelöste Erkennungen aus diesem Lauf angezeigt werden.

  • Mit Aktion verknüpft:Gibt an, ob die Regel Teil der Metadaten der Aktion war:

    • Ja:Die Metadaten der Aktion enthalten die Regel. Das System erwartet, dass sie ausgelöst wird, wenn die Aktion ausgeführt wird.

    • Nein:Die Metadaten dieser Aktion enthalten nicht die Regel, aber ihre Logik entsprach den generierten Ereignissen und hat sie ausgelöst.

In dieser Tabelle finden Sie die Ergebnisse:

Spalte „Mit Aktion verknüpft“ Spalte für Anzahl der Erkennungen Bedeutung
YES 1 oder mehr Erfolgreich: Eine erwartete Regel hat mindestens eine Erkennung ausgelöst.
NO 1 oder mehr Durch die Aktivität wurde eine unerwartete Regel ausgelöst.
YES 0 Eine erwartete Regel hat keine Erkennungen ausgelöst.

Korrelierte Ereignisse analysieren

Nachdem Sie eine Sicherheitsvalidierungsaktion ausgeführt haben, können Sie anhand der korrelierten Ereignisse beurteilen, wie Ihre Umgebung und Sicherheitskontrollen auf die simulierte Bedrohung reagiert haben.

Ihre Analyse umfasst zwei Komponenten: einen Echtzeitstatus des Korrelationsworkflows und eine detaillierte Tabelle mit allen generierten Ereignissen.

Der Status der Ereigniskorrelation zeigt den aktuellen Workflow-Status als eine der folgenden Optionen an:

  • Wird ausgeführt:Das System sucht aktiv nach korrelierten Ereignissen.

  • Abgeschlossen:Alle Aktivitäten zur Ereigniskorrelation wurden erfolgreich abgeschlossen.

  • Errored (Fehler): Im Korrelationsworkflow ist ein Fehler aufgetreten und er konnte nicht abgeschlossen werden.

Unter Korrelationsworkflow abgeschlossen um wird eine geschätzte Zeit angegeben, zu der die Korrelation voraussichtlich abgeschlossen ist oder wurde.

In der Ereignistabelle sind alle Ereignisse aufgeführt, die durch die Aktion generiert wurden. Mit diesen Daten können Sie einzelne Antworten in Ihrer Umgebung und Ihre Sicherheitskontrollen analysieren.

Die Tabelle enthält die folgenden Spalten:

  • Event: Ereignis-ID. Klicken Sie hier, um die Ereignisdetails in der UDM-Suche aufzurufen.

  • Ereigniszeitstempel:Zeitpunkt, zu dem das Ereignis im Quellsystem (z. B. auf dem Server oder der Firewall) aufgetreten ist.

  • Beobachteter Zeitstempel:Zeitpunkt, zu dem der Sicherheitsvalidierungsdienst das Ereignis gefunden und mit der Ausführung in Beziehung gesetzt hat.

  • Produkt:Das Produkt, das das Ereignis generiert hat.

  • Aktion für Sicherheitsergebnis:Ergebnis des Ereignisses (Blocked oder Not blocked) basierend auf dem Feld security_result.action des UDM-Ereignisses.

Aktionen können auf Regionen außerhalb der Google SecOps-Instanz ausgerichtet sein, in der sie ausgeführt werden. In den Ausführungsergebnissen werden Logs angezeigt, die vom Ausführungsprojekt abgerufen wurden.

Auf erweiterte Assets und Referenzen zugreifen

In den folgenden Assets finden Sie Konfigurationsbeispiele und Referenzdatenzuordnungen.

Beispielimplementierung: Zugriffstoken mit signJWT generieren

Hier ist ein Beispiel für die Aktion „Zugriffstoken mit signJWT-Berechtigung generieren“. In diesem Beispiel wird davon ausgegangen, dass Sie bereits einen Sicherheitsvalidierungskontext eingerichtet haben und die Aktion in diesem Kontext ausführen. Durch die Aktion sollen Cloud-Audit-Logs generiert und die Generierung von Zugriffstokens mit der Regel zur Erkennung von signJWT-Bedrohungen ausgelöst werden.

Folgende Einrichtung ist erforderlich:

  • Aktivierte APIs:Die IAM Service Account Credentials API muss sowohl im Ziel- als auch im Ausführungsprojekt aktiviert sein.

  • Dienstkontoberechtigungen:Das Dienstkonto, das im Feld profile des Sicherheitsvalidierungskontexts angegeben ist, muss die Berechtigung iam.serviceAccounts.signJwt im Zielprojekt haben. Dies kann über die Rolle „Ersteller von Dienstkonto-Tokens“ (roles/iam.serviceAccountTokenCreator) erfolgen. Diese Rolle kann entweder für das Projekt oder das Zieldienstkonto (das für diese Aktion das Compute Engine-Standarddienstkonto des Zielprojekts ist) gewährt werden.

  • IAM-Audit-Logging:Das IAM-Audit-Logging (ADMIN_READ) muss im Zielprojekt aktiviert sein, damit die durch diese Aktion generierten Ereignisse erfasst werden.

  • Benutzerdefinierter Exportfilter:Damit die durch diese Aktion generierten Ereignisse über die SecOps Google Cloud Aufnahme aufgenommen werden können, muss ein benutzerdefinierter Exportfilter festgelegt werden, der log_id("cloudaudit.googleapis.com/data_access") enthält.

  • Regelsatz:Der Regelsatz „Cloud Threats“ -> „[Google Cloud] IAM Abuse“ muss aktiviert und auf „Benachrichtigung“ eingestellt sein, damit Erkennungen in der Such- und Untersuchungsansicht angezeigt werden.

Beispiele für die Überwachung der Planung

Verwenden Sie diese Beispiele als Referenz, wenn Sie wiederkehrende Zeitpläne für die kontinuierliche Überwachung konfigurieren.

Konfiguration Wann wird die Kampagne ausgeführt?
Uhrzeit: Zu einer bestimmten Uhrzeit ausführen (22:00 Uhr)
Tage: Wochentage (Montag)
Monate: Monatlich
Zeitzone: EST
Wird jeden Montag um 22:00 Uhr Eastern Standard Time ausgeführt.
Uhrzeit: Ausführung zu einer bestimmten Uhrzeit (01:00)
Tage: Tag des Monats (1)
Monate: Angeben (Jan, Apr, Jul, Okt)
Zeitzone: PST
Die Ausführung erfolgt am ersten Tag im Januar, April, Juli und Oktober um 01:00 Uhr (PST).
Uhrzeit: Ausführung zu einer bestimmten Uhrzeit (14:00)
Tage: Täglich
Monate: Monatlich
Zeitzone: UTC
Wird jeden Tag um 14:00 Uhr koordinierte Weltzeit ausgeführt.
Uhrzeit: Ausführung zu einer bestimmten Uhrzeit (09:30) 
Tage: Tag des Monats (15) 
Monate: Festlegen (Feb, Apr, Jun, Aug, Okt, Dez) 
Zeitzone: EST
Wird am 15. jedes zweiten Monats (Februar, April, Juni, August, Oktober, Dezember) um 9:30 Uhr Eastern Standard Time (EST) ausgeführt.
Uhrzeit: Stündlich wiederholen 
Intervall: Alle 1 Stunde
Stunden: Alle Stunden
Läuft ohne Unterbrechung. Wird genau zu Beginn jeder Stunde ausgeführt, 24 Stunden am Tag (z. B. 1:00, 2:00, 3:00 Uhr usw.).
Uhrzeit: Stündlich wiederholen 
Intervall: Alle 4 Stunden 
Stunden: Start- und Endzeit (22:00 bis 6:00 Uhr)
Wird nur über Nacht ausgeführt. Wird um 22:00 Uhr, 2:00 Uhr und 6:00 Uhr ausgeführt, um den Serverstatus in Zeiten mit geringem Traffic zu erfassen.

Fehlerbehebung

Latenz und Limits

Ergebnisse für neu ausgelöste Monitorläufe werden aufgrund des Korrelationszeitraums nicht sofort mit Erkennungs- und Ereignisdaten gefüllt.

Fehlerbehebung

Fehler Problembeschreibung Korrigieren
IAM-Berechtigungsfehler Die Berechtigung iam.serviceaccounts.actAs wurde für das Dienstkonto verweigert. Wenn Sie den Kontext kurz vor dem Ausführen der Aktion erstellt oder aktualisiert haben, warten Sie einige Minuten und versuchen Sie es dann noch einmal. IAM-Änderungen sind konsistent. Es kann jedoch einige Zeit dauern, bis Rollenzuweisungen im gesamten System übernommen werden.

Prüfen Sie, ob die Identität, mit der die Aktion ausgeführt wird, die Berechtigung „iam.serviceaccounts.actAs“ für das angegebene Dienstkonto hat.

Validierung und Tests

Wenn Sie prüfen möchten, ob Ihr Monitor richtig konfiguriert ist, ohne auf das nächste geplante Intervall zu warten, verwenden Sie auf der Seite mit den Monitordetails die Schaltfläche Jetzt ausführen. Aktualisieren Sie die Seite, nachdem der Korrelationszeitraum abgelaufen ist, um den Ausführungsstatus zu prüfen.