La funzionalità Minacce correlate in Security Command Center ti aiuta a scoprire le minacce attive critiche nel tuo ambiente. Minacce correlate restituisce un insieme di risultati di minacce correlate e fornisce spiegazioni dettagliate su questi risultati, che puoi utilizzare per dare la priorità, comprendere e rispondere a queste minacce.
I team di sicurezza spesso soffrono di affaticamento da avvisi a causa della gestione di un numero eccessivo di risultati di minacce. Questa situazione può portare a risposte mancate o ritardate. Questi team richiedono rapidamente informazioni prioritarie e pertinenti per identificare l'attività post-exploit.
Minacce correlate aiuta a aggregare più risultati di minacce correlate in un problema. Questa aggregazione contribuisce a fornire rilevamenti con maggiore affidabilità su cui puoi intervenire. Minacce correlate genera un problema, che rappresenta una serie di attività dannose correlate.
Questa funzionalità offre vari vantaggi:
- Riduce l'affaticamento da avvisi consolidando numerosi risultati in problemi critici.
- Migliora la fedeltà del rilevamento combinando più indicatori, contribuendo ad aumentare la fiducia nel rilevamento di attività dannose.
- Fornisce una visualizzazione della catena di attacco, che mostra come gli eventi si collegano per formare una storia di attacco completa. Questo approccio ti aiuta ad anticipare le mosse degli avversari e a identificare rapidamente gli asset compromessi.
- Evidenzia le minacce critiche e fornisce consigli chiari, aiutandoti a dare la priorità e ad accelerare la risposta.
Come funziona Minacce correlate
La funzionalità Minacce correlate utilizza un motore di regole per identificare e raggruppare i risultati di sicurezza correlati.
Il motore di regole esegue query sul grafico di sicurezza con predefinite query Minacce correlate. Il motore traduce quindi i risultati di queste query in problemi. Security Command Center gestisce il ciclo di vita di questi problemi di minacce. Un problema rimane attivo per 14 giorni dopo il primo risultato di minaccia se non lo disattivi o lo contrassegni come inattivo. Questo periodo di tempo viene impostato automaticamente e non può essere configurato. Le minacce correlate vengono risolte automaticamente se le risorse sottostanti, come le VM o i nodi Google Kubernetes Engine, vengono eliminate.
Le minacce correlate richiedono esecuzioni di regole più frequenti rispetto ad altre regole del grafico di sicurezza. Il sistema elabora le regole delle minacce ogni ora. Questo approccio si integra con le origini di rilevamento di Security Command Center esistenti.
Regole di minacce correlate
Le minacce correlate aiutano a identificare vari pattern di attacco multifase nelle risorse cloud. La tabella seguente definisce le regole di minacce correlate disponibili.
| Regola | Descrizione |
|---|---|
| Più indicatori di minacce correlate di software di mining di criptovalute |
Cerca più indicatori distinti di software dannoso provenienti da
Google Cloud macchine virtuali, tra cui VM Compute Engine e
nodi Google Kubernetes Engine (GKE) (e i relativi pod).
Esempi:
|
| Più indicatori di minacce correlate di software dannoso |
Cerca più indicatori distinti di software dannoso provenienti da Google Cloud
macchine virtuali, tra cui VM Compute Engine e nodi GKE (e
i relativi pod) o Agent Runtime.
Esempi:
|
| Movimento laterale dell'account Google Cloud potenzialmente compromesso verso la risorsa di computing compromessa |
Cerca prove di chiamate sospette alle API Compute (Compute Engine o
GKE) che modificano una VM o un pod. La regola correla quindi questa attività con
attività dannosa proveniente dalla risorsa di computing in un breve periodo di tempo.
Gli autori degli attacchi utilizzano comunemente questo pattern di movimento laterale. Questa regola indica che la VM o
il pod è probabilmente compromesso. Questa regola indica anche che l' Google Cloud account
(utente o account di servizio) potrebbe essere la causa dell'attività dannosa.
Esempi:
|
Analizzare le minacce correlate
Le minacce correlate ti guidano attraverso una procedura di indagine strutturata. Questa procedura ti aiuta a comprendere e rispondere in modo efficace agli incidenti di sicurezza. Puoi utilizzare l'indice dei risultati di minacce per trovare ulteriori informazioni su un risultato di minaccia specifico. Ogni pagina specifica per i risultati descrive come analizzare e rispondere alla minaccia.
Reception
Ricevi un problema di minacce correlate tramite Security Command Center. Questo problema indica che il sistema ha rilevato e raggruppato più risultati sospetti. Riconosci questo problema come di alta priorità, perché è contrassegnato come Minaccia attiva. La correlazione di più indicatori indica un vero positivo che richiede un'attenzione immediata. Per saperne di più, consulta Gestisci e risolvi i problemi.
Decomposizione
Apri il problema per visualizzarne le parti. Nella visualizzazione dei dettagli del problema, puoi espandere una sezione per visualizzare i singoli risultati. Ad esempio, se uno script dannoso viene eseguito su un nodo GKE e poi si connette a un indirizzo IP dannoso, entrambi gli eventi vengono visualizzati insieme. Controlla i dettagli di ogni risultato, ad esempio quando si è verificato, quali processi sono stati coinvolti, gli indirizzi IP dannosi e da dove proviene il rilevamento. Queste informazioni indicano che gli eventi sono potenzialmente correlati e spiegano i dettagli tecnici dell'attacco. Una visualizzazione cronologica mostra la sequenza degli eventi. Il sistema mappa questi dettagli alle fasi della catena di attacco MITRE ATT&CK e li presenta in una visualizzazione della catena di attacco. Questa funzionalità ti fornisce un contesto immediato sulla fase di attacco.
Identificazione dell'ambito
Determina l'entità della minaccia. Controlla le informazioni contestuali sugli eventi correlati, ad esempio l'asset interessato e il relativo contesto di progetto o cluster. La piattaforma correla i problemi per risorsa, utilizzando identificatori univoci per collegare gli eventi allo stesso nodo. Viene visualizzato l'asset interessato. Verifica se altri asset mostrano segni simili. Prendi nota delle identità coinvolte, ad esempio il service account o l'utente che ha eseguito lo script dannoso. Questa visualizzazione con ambito ti aiuta a concentrarti sui sistemi interessati e a verificare se l'incidente è localizzato o diffuso.
Azioni successive
Il sistema contrassegna i problemi di minacce correlate con una gravità critica. Puoi trovare le azioni consigliate nelle visualizzazioni Come risolvere. Contieni l'asset interessato, ad esempio isolando o arrestando il nodo GKE interessato. Segui i consigli, ad esempio blocca l'IP dannoso noto a livello di firewall o VPC cloud. Le azioni consigliate ti aiutano a rispondere più rapidamente, a contenere l'incidente e ad avviare un'indagine mirata. Per saperne di più sull'analisi delle minacce, consulta Come analizzare le minacce.
Passaggi successivi
- Rilevamento delle minacce in Security Command Center
- Panoramica di Container Threat Detection
- Panoramica di Event Threat Detection
- Panoramica di Virtual Machine Threat Detection
- Gestisci e risolvi i problemi