Korrelierte Bedrohungen – Übersicht

Mit der Funktion „Korrelierte Bedrohungen“ im Security Command Center können Sie kritische aktive Bedrohungen in Ihrer Umgebung aufdecken. Die Ausgabe von „Correlated Threats“ umfasst eine Reihe von zusammenhängenden Bedrohungsergebnissen und detaillierte Erklärungen zu diesen Ergebnissen. Sie können diese dann verwenden, um die Bedrohungen zu priorisieren, zu verstehen und auf sie zu reagieren.

Sicherheitsteams sind oft überfordert, wenn sie eine überwältigende Anzahl von Bedrohungsbefunden verwalten müssen. Dies kann zu verpassten oder verzögerten Reaktionen führen. Diese Teams benötigen schnell priorisierte und relevante Informationen, um Aktivitäten nach einem Exploit zu erkennen.

Mit korrelierten Bedrohungen werden mehrere zusammenhängende Bedrohungsbefunde in einem Problem zusammengefasst. Durch diese Aggregation können Sie sich auf die erkannten Probleme verlassen und entsprechende Maßnahmen ergreifen. Bei „Correlated Threats“ wird ein Problem generiert, das eine Reihe von zusammenhängenden schädlichen Aktivitäten darstellt.

Dieses Feature bietet mehrere Vorteile:

  • Warnungsmüdigkeit wird reduziert, da zahlreiche Ergebnisse in kritischen Problemen zusammengefasst werden.
  • Die Erkennungsgenauigkeit wird durch die Kombination mehrerer Signale verbessert, was dazu beiträgt, dass schädliche Aktivitäten zuverlässiger erkannt werden.
  • Visualisierung der Angriffskette, die zeigt, wie Ereignisse zusammenhängen, um eine vollständige Angriffsgeschichte zu bilden. Dieser Ansatz hilft Ihnen, die Schritte von Angreifern vorherzusehen und kompromittierte Assets schnell zu identifizieren.
  • Es hebt kritische Bedrohungen hervor und bietet klare Empfehlungen, damit Sie Ihre Reaktion priorisieren und beschleunigen können.

Funktionsweise von korrelierten Bedrohungen

Bei der Funktion „Korrelierte Bedrohungen“ werden mithilfe einer Regelausführungsumgebung zusammengehörige Sicherheitsergebnisse identifiziert und gruppiert.

Die Regelausführungsumgebung fragt den Sicherheitsgraphen mit vordefinierten Correlated Threats-Abfragen ab. Die Umgebung übersetzt diese Abfrageergebnisse dann in Probleme. Security Command Center verwaltet den Lebenszyklus dieser Bedrohungsprobleme. Ein Problem bleibt 14 Tage nach dem ersten Bedrohungsbefund aktiv, wenn Sie es nicht stummschalten oder als inaktiv markieren. Dieser Zeitraum wird automatisch festgelegt und kann nicht konfiguriert werden. Correlated Threats werden automatisch behoben, wenn die zugrunde liegenden Ressourcen, z. B. VMs oder Google Kubernetes Engine-Knoten, gelöscht werden.

Für korrelierte Bedrohungen sind häufigere Regelausführungen erforderlich als für andere Regeln für den Sicherheitsgraphen. Das System verarbeitet Bedrohungsregeln stündlich. Dieser Ansatz lässt sich in bestehende Security Command Center-Erkennungsquellen einbinden.

Regeln für korrelierte Bedrohungen

Mithilfe von korrelierten Bedrohungen lassen sich verschiedene mehrstufige Angriffsmuster für Cloud-Ressourcen erkennen. In der folgenden Tabelle werden die verfügbaren Regeln für korrelierte Bedrohungen definiert.

Regel Beschreibung
Mehrere korrelierte Bedrohungssignale von Kryptowährung-Mining-Software Suchen Sie nach mehreren unterschiedlichen Signalen für schädliche Software, die von Google Cloud -VMs stammen, einschließlich Compute Engine-VMs und Google Kubernetes Engine-Knoten (und deren Pods).

Beispiele:

  • VM Threat Detection erkennt ein Kryptowährungsprogramm und Event Threat Detection erkennt Verbindungen zu Kryptowährungs-IP-Adressen oder ‑Domains von derselben VM.
  • Container Threat Detection erkennt ein Programm, das das Stratum-Protokoll für das Mining von Kryptowährungen verwendet, und Event Threat Detection erkennt eine Verbindung zu einer IP-Adresse für das Mining von Kryptowährungen vom selben Google Kubernetes Engine-Knoten.
Mehrere korrelierte Bedrohungssignale für Malware Suchen Sie nach mehreren unterschiedlichen Signalen für schädliche Software, die von Google Cloud-VMs stammen, einschließlich Compute Engine-VMs und GKE-Knoten (und deren Pods) oder Agent Runtime.

Beispiele:

  • Container Threat Detection erkennt, ob sowohl eine schädliche Binärdatei als auch ein schädliches Python-Skript im selben Pod ausgeführt werden.
  • Event Threat Detection erkennt eine VM, die eine Verbindung zu einer Malware-IP-Adresse herstellt, und VM Threat Detection erkennt Malware auf dem Laufwerk in derselben VM.
  • Die Bedrohungserkennung für Agent Platform erkennt eine schädliche URL und eine Reverse Shell vom selben KI-Agenten.
Potenziell manipuliertes GCP-Konto, das sich seitwärts zu einer manipulierten Rechenressource bewegt Suchen Sie nach Hinweisen auf verdächtige Aufrufe von Compute APIs (Compute Engine oder GKE), die eine VM oder einen Pod ändern. Die Regel setzt diese Aktivität dann in Beziehung zu schädlichen Aktivitäten, die innerhalb kurzer Zeit von der Computeressource ausgehen. Angreifer verwenden dieses Muster für Lateral Movement häufig. Diese Regel weist darauf hin, dass die VM oder der Pod wahrscheinlich manipuliert wurde. Diese Regel weist auch darauf hin, dass das Google Cloud -Konto (Nutzer- oder Dienstkonto) möglicherweise die Ursache der schädlichen Aktivität ist.

Beispiele:

  • Event Threat Detection erkennt, dass ein Nutzer einen neuen SSH-Schlüssel zu einer Compute Engine-Instanz hinzugefügt hat, und VM Threat Detection erkennt einen Kryptowährung-Miner, der auf derselben Instanz ausgeführt wird.
  • Event Threat Detection erkennt, dass ein Dienstkonto über das Tor-Netzwerk mit der Compute Engine API auf eine Instanz zugegriffen hat, und erkennt Verbindungen zu einer schädlichen IP-Adresse von derselben Instanz.
  • Event Threat Detection erkennt, dass ein Nutzer einen privilegierten Container erstellt hat, und Container Threat Detection erkennt, dass der Container über denselben Pod auf sensible Dateien auf dem GKE-Knoten zugegriffen hat.

Korrelierte Bedrohungen untersuchen

„Correlated Threats“ führt Sie durch einen strukturierten Untersuchungsprozess. Dieser Prozess hilft Ihnen, Sicherheitsvorfälle effektiv zu verstehen und darauf zu reagieren. Im Index der Bedrohungsergebnisse finden Sie weitere Informationen zu einem bestimmten Bedrohungsergebnis. Auf jeder ergebnisbezogenen Seite wird beschrieben, wie Sie die Bedrohung untersuchen und darauf reagieren können.

Empfang

Sie erhalten über Security Command Center ein Problem vom Typ „Correlated Threats“ (Korrelierte Bedrohungen). Dieses Problem weist darauf hin, dass das System mehrere verdächtige Ergebnisse erkannt und gruppiert hat. Da es als Aktive Bedrohung gekennzeichnet ist, hat es für Sie eine hohe Priorität. Die Korrelation mehrerer Signale deutet auf ein echtes positives Ergebnis hin, das sofortige Aufmerksamkeit erfordert. Weitere Informationen finden Sie unter Probleme verwalten und beheben.

Rückbau

Öffnen Sie die Ausgabe, um die einzelnen Teile zu sehen. In der Ansicht mit den Problemdetails können Sie einen Abschnitt maximieren, um die einzelnen Ergebnisse zu sehen. Wenn beispielsweise ein schädliches Skript auf einem GKE-Knoten ausgeführt wird und dann eine Verbindung zu einer schädlichen IP-Adresse herstellt, werden beide Ereignisse zusammen angezeigt. Sehen Sie sich die Details der einzelnen Ergebnisse an, z. B. wann sie aufgetreten sind, welche Prozesse beteiligt waren, die schädlichen IP-Adressen und wo die Erkennung erfolgte. Diese Informationen deuten darauf hin, dass die Ereignisse möglicherweise zusammenhängen, und enthalten die technischen Details des Angriffs. Eine chronologische Ansicht zeigt die Reihenfolge der Ereignisse. Das System ordnet diese Details den Phasen der MITRE ATT&CK-Angriffskette zu und stellt sie in einer Visualisierung der Angriffskette dar. Diese Funktion bietet Ihnen sofortigen Kontext zur Angriffsphase.

Bereichsidentifizierung

Ermitteln Sie das Ausmaß der Bedrohung. Prüfen Sie Kontextinformationen zu den korrelierten Ereignissen, z. B. das betroffene Asset und den zugehörigen Projekt- oder Clusterkontext. Die Plattform korreliert Probleme nach Ressource und verwendet eindeutige Kennungen, um Ereignisse demselben Knoten zuzuordnen. So wird das betroffene Asset angezeigt. Prüfen Sie, ob andere Assets ähnliche Anzeichen aufweisen. Notieren Sie sich die beteiligten Identitäten, z. B. das Dienstkonto oder den Nutzer, der das schädliche Skript ausgeführt hat. Diese eingeschränkte Ansicht hilft Ihnen, sich auf betroffene Systeme zu konzentrieren und zu bestätigen, ob der Vorfall lokal oder weit verbreitet ist.

Nächste Schritte

Probleme mit korrelierten Bedrohungen werden vom System mit dem Schweregrad „Kritisch“ gekennzeichnet. Empfohlene Maßnahmen finden Sie in den Ansichten So beheben Sie das Problem. Das betroffene Asset eindämmen, z. B. durch Isolieren oder Herunterfahren des betroffenen GKE-Knotens. Folgen Sie Empfehlungen wie dem Blockieren der bekannten schädlichen IP-Adresse auf Firewall- oder Cloud-VPC-Ebene. Die empfohlenen Maßnahmen helfen Ihnen, schneller zu reagieren, den Vorfall einzudämmen und eine gezielte Untersuchung einzuleiten. Weitere Informationen zum Untersuchen von Bedrohungen finden Sie unter Bedrohungen untersuchen.

Nächste Schritte