關聯威脅總覽

Security Command Center 的「關聯威脅」功能可協助您找出環境中重要的現有威脅。關聯威脅輸出內容 一組相關的威脅發現項目,並提供這些發現項目的深入說明,您可以使用這些說明來排定威脅的優先順序、瞭解威脅並做出回應。

資安團隊經常會因管理大量威脅發現而感到疲乏,導致錯過或延遲回應。這些團隊需要優先處理相關資訊,才能快速找出遭入侵後的活動。

關聯威脅會將多項相關威脅發現結果匯總為一個問題,這項彙整功能可提供準確度更高的偵測結果,方便您採取行動。關聯威脅會產生問題,代表一系列相關的惡意活動。

這項功能的優點有:

  • 將大量發現項目整合成重大問題,減少過多快訊。
  • 結合多個信號,提高偵測準確度,有助於更確信偵測到惡意活動。
  • 提供攻擊鏈的視覺化呈現方式,顯示事件的關聯性,協助您瞭解完整的攻擊過程。這種做法有助於預測攻擊者的行動,並快速找出遭入侵的資產。
  • 醒目顯示重大威脅並提供明確建議,協助您優先處理並加快回應速度。

相關威脅的運作方式

「關聯威脅」功能會使用規則引擎,找出並分組相關安全發現。

規則引擎會使用預先定義的關聯威脅查詢,查詢安全圖譜。接著,引擎會將這些查詢結果轉換為問題。Security Command Center 會管理這些威脅問題的生命週期。如果沒有將問題設為靜音或標示為非使用中,問題會在第一個威脅發現項目出現後維持有效 14 天。這段時間範圍會自動設定,無法設定。如果刪除基礎資源 (例如 VM 或 Google Kubernetes Engine 節點),系統會自動解決關聯威脅。

相較於其他安全圖譜規則,關聯威脅需要更頻繁地執行規則。系統每小時會處理威脅規則。這種做法會與現有的 Security Command Center 偵測來源整合。

關聯威脅規則

關聯威脅有助於識別雲端資源中各種多階段攻擊模式。下表定義了可用的關聯威脅規則。

規則 說明
加密貨幣挖礦軟體的多個相關威脅信號 尋找來自 Google Cloud 虛擬機器的多個惡意軟體信號,包括 Compute Engine VM 和 Google Kubernetes Engine (GKE) 節點 (及其 Pod)。

相關示例包括:

  • VM Threat Detection 偵測到加密貨幣程式,而 Event Threat Detection 偵測到來自同一部 VM 的加密貨幣 IP 位址或網域連線。
  • Container Threat Detection 偵測到使用加密貨幣挖礦層級通訊協定的程式,而 Event Threat Detection 偵測到來自相同 Google Kubernetes Engine 節點的加密貨幣挖礦 IP 位址連線。
多個惡意軟體相關威脅信號 從 Google Cloud虛擬機器 (包括 Compute Engine VM 和 GKE 節點 (及其 Pod) 或 Agent Runtime) 尋找多個不同的惡意軟體信號。

相關示例包括:

  • Container Threat Detection 會偵測惡意二進位檔和惡意 Python 指令碼是否在同一個 Pod 中執行。
  • Event Threat Detection 偵測到 VM 連線至惡意軟體 IP 位址,而 VM Threat Detection 偵測到同一部 VM 磁碟上的惡意軟體。
  • Agent Platform Threat Detection 從同一個 AI 代理程式偵測到惡意網址和反向 Shell。
遭盜用的 GCP 帳戶可能橫向移動至遭盜用的運算資源 尋找可疑的運算 API (Compute Engine 或 GKE) 呼叫證據,這些呼叫會修改 VM 或 Pod。然後,規則會將該活動與短時間內源自運算資源的惡意活動建立關聯。攻擊者通常會使用這種橫向移動模式。這項規則表示 VM 或 Pod 可能遭到入侵。這項規則也表示 Google Cloud 帳戶 (使用者或服務帳戶) 可能就是惡意活動的來源。

範例包括:

  • Event Threat Detection 偵測到使用者在 Compute Engine 執行個體中新增了安全殼層金鑰,而 VM Threat Detection 偵測到同一執行個體正在執行加密貨幣挖礦程式。
  • Event Threat Detection 偵測到服務帳戶透過 Tor 網路,使用 Compute Engine API 存取執行個體,且 Event Threat Detection 偵測到來自同一執行個體的惡意 IP 位址連線。
  • Event Threat Detection 偵測到使用者建立具備特殊權限的容器,而 Container Threat Detection 偵測到該容器從同一個 Pod 存取 GKE 節點上的機密檔案。

調查相關威脅

「關聯威脅」會引導您完成結構化調查程序,協助您瞭解及有效因應安全性事件。您可以透過威脅發現項目索引,進一步瞭解特定威脅發現項目。每個發現項目專屬頁面都會說明如何調查及因應威脅。

接待

您透過 Security Command Center 收到「關聯威脅」問題。這個問題表示系統偵測到多項可疑發現項目,並將其歸類為同一群組。您發現這個問題標示為「Active threat」(活躍威脅),因此將其視為高優先順序。多個信號的關聯性表示有真陽性,因此需要立即處理。詳情請參閱「管理及修正問題」。

解構

開啟問題即可查看相關部分。在問題詳細資料檢視畫面中,您可以展開某個部分,查看個別發現項目。舉例來說,如果有害指令在 GKE 節點上執行,然後連線至惡意 IP 位址,這兩個事件就會一併顯示。請檢查每個發現項目的詳細資料,例如發生時間、涉及的程序、惡意 IP 位址,以及偵測來源。這項資訊表示事件可能相關,並說明攻擊的技術細節。時間順序檢視畫面會顯示事件的順序。系統會將這些詳細資料對應至 MITRE ATT&CK 攻擊鏈階段,並在攻擊鏈視覺化圖表中呈現。這項功能可讓您立即瞭解攻擊階段。

範圍識別

判斷威脅程度。查看相關事件的脈絡資訊,例如受影響的資產及其專案或叢集脈絡。平台會使用專屬 ID 將事件繫結至相同節點,藉此依資源關聯問題。顯示受影響的資產。確認其他素材資源是否也出現類似跡象。請記下涉及的身分,例如執行惡意指令碼的服務帳戶或使用者。這個範圍檢視畫面可協助您專注於受影響的系統,並確認事件是局部還是大範圍發生。

後續行動

系統會將關聯威脅問題標示為嚴重程度「重大」。您可以在「如何修正」檢視畫面中找到建議的動作。請控制受影響的資產,例如隔離或關閉受影響的 GKE 節點。按照建議操作,例如在防火牆或雲端 VPC 層級封鎖已知的惡意 IP。建議的動作有助於您更快做出回應、控制事件,並展開重點調查。如要進一步瞭解如何調查威脅,請參閱「如何調查威脅」。

後續步驟