Security Command Center 的「關聯威脅」功能可協助您找出環境中重要的現有威脅。關聯威脅輸出內容 一組相關的威脅發現項目,並提供這些發現項目的深入說明,您可以使用這些說明來排定威脅的優先順序、瞭解威脅並做出回應。
資安團隊經常會因管理大量威脅發現而感到疲乏,導致錯過或延遲回應。這些團隊需要優先處理相關資訊,才能快速找出遭入侵後的活動。
關聯威脅會將多項相關威脅發現結果匯總為一個問題,這項彙整功能可提供準確度更高的偵測結果,方便您採取行動。關聯威脅會產生問題,代表一系列相關的惡意活動。
這項功能的優點有:
- 將大量發現項目整合成重大問題,減少過多快訊。
- 結合多個信號,提高偵測準確度,有助於更確信偵測到惡意活動。
- 提供攻擊鏈的視覺化呈現方式,顯示事件的關聯性,協助您瞭解完整的攻擊過程。這種做法有助於預測攻擊者的行動,並快速找出遭入侵的資產。
- 醒目顯示重大威脅並提供明確建議,協助您優先處理並加快回應速度。
相關威脅的運作方式
「關聯威脅」功能會使用規則引擎,找出並分組相關安全發現。
規則引擎會使用預先定義的關聯威脅查詢,查詢安全圖譜。接著,引擎會將這些查詢結果轉換為問題。Security Command Center 會管理這些威脅問題的生命週期。如果沒有將問題設為靜音或標示為非使用中,問題會在第一個威脅發現項目出現後維持有效 14 天。這段時間範圍會自動設定,無法設定。如果刪除基礎資源 (例如 VM 或 Google Kubernetes Engine 節點),系統會自動解決關聯威脅。
相較於其他安全圖譜規則,關聯威脅需要更頻繁地執行規則。系統每小時會處理威脅規則。這種做法會與現有的 Security Command Center 偵測來源整合。
關聯威脅規則
關聯威脅有助於識別雲端資源中各種多階段攻擊模式。下表定義了可用的關聯威脅規則。
| 規則 | 說明 |
|---|---|
| 加密貨幣挖礦軟體的多個相關威脅信號 |
尋找來自 Google Cloud 虛擬機器的多個惡意軟體信號,包括 Compute Engine VM 和 Google Kubernetes Engine (GKE) 節點 (及其 Pod)。 相關示例包括:
|
| 多個惡意軟體相關威脅信號 |
從 Google Cloud虛擬機器 (包括 Compute Engine VM 和 GKE 節點 (及其 Pod) 或 Agent Runtime) 尋找多個不同的惡意軟體信號。 相關示例包括:
|
| 遭盜用的 GCP 帳戶可能橫向移動至遭盜用的運算資源 |
尋找可疑的運算 API (Compute Engine 或 GKE) 呼叫證據,這些呼叫會修改 VM 或 Pod。然後,規則會將該活動與短時間內源自運算資源的惡意活動建立關聯。攻擊者通常會使用這種橫向移動模式。這項規則表示 VM 或 Pod 可能遭到入侵。這項規則也表示 Google Cloud 帳戶 (使用者或服務帳戶) 可能就是惡意活動的來源。 範例包括:
|
調查相關威脅
「關聯威脅」會引導您完成結構化調查程序,協助您瞭解及有效因應安全性事件。您可以透過威脅發現項目索引,進一步瞭解特定威脅發現項目。每個發現項目專屬頁面都會說明如何調查及因應威脅。
接待
您透過 Security Command Center 收到「關聯威脅」問題。這個問題表示系統偵測到多項可疑發現項目,並將其歸類為同一群組。您發現這個問題標示為「Active threat」(活躍威脅),因此將其視為高優先順序。多個信號的關聯性表示有真陽性,因此需要立即處理。詳情請參閱「管理及修正問題」。
解構
開啟問題即可查看相關部分。在問題詳細資料檢視畫面中,您可以展開某個部分,查看個別發現項目。舉例來說,如果有害指令在 GKE 節點上執行,然後連線至惡意 IP 位址,這兩個事件就會一併顯示。請檢查每個發現項目的詳細資料,例如發生時間、涉及的程序、惡意 IP 位址,以及偵測來源。這項資訊表示事件可能相關,並說明攻擊的技術細節。時間順序檢視畫面會顯示事件的順序。系統會將這些詳細資料對應至 MITRE ATT&CK 攻擊鏈階段,並在攻擊鏈視覺化圖表中呈現。這項功能可讓您立即瞭解攻擊階段。
範圍識別
判斷威脅程度。查看相關事件的脈絡資訊,例如受影響的資產及其專案或叢集脈絡。平台會使用專屬 ID 將事件繫結至相同節點,藉此依資源關聯問題。顯示受影響的資產。確認其他素材資源是否也出現類似跡象。請記下涉及的身分,例如執行惡意指令碼的服務帳戶或使用者。這個範圍檢視畫面可協助您專注於受影響的系統,並確認事件是局部還是大範圍發生。
後續行動
系統會將關聯威脅問題標示為嚴重程度「重大」。您可以在「如何修正」檢視畫面中找到建議的動作。請控制受影響的資產,例如隔離或關閉受影響的 GKE 節點。按照建議操作,例如在防火牆或雲端 VPC 層級封鎖已知的惡意 IP。建議的動作有助於您更快做出回應、控制事件,並展開重點調查。如要進一步瞭解如何調查威脅,請參閱「如何調查威脅」。
後續步驟
- Security Command Center 中的威脅偵測
- Container Threat Detection 簡介
- Event Threat Detection 總覽
- 虛擬機器威脅偵測總覽
- 管理及修復問題