Korrelierte Bedrohungen – Übersicht

Mit der Funktion „Korrelierte Bedrohungen“ im Security Command Center können Sie kritische aktive Bedrohungen in Ihrer Umgebung aufdecken. Die Ausgabe von „Correlated Threats“ umfasst eine Reihe von zusammenhängenden Bedrohungsergebnissen und detaillierte Erklärungen zu diesen Ergebnissen. Anhand dieser Informationen können Sie die Bedrohungen priorisieren, nachvollziehen und auf sie reagieren.

Sicherheitsteams sind oft von der überwältigenden Anzahl von Bedrohungsbefunden überfordert. Das kann dazu führen, dass Antworten verpasst oder verzögert werden. Diese Teams benötigen schnell priorisierte und relevante Informationen, um Aktivitäten nach einem Exploit zu erkennen.

Korrelierte Bedrohungen helfen, indem mehrere zugehörige Bedrohungsbefunde in einem Problem zusammengefasst werden. Durch diese Aggregation können Sie sich auf die erkannten Probleme verlassen und entsprechende Maßnahmen ergreifen. Bei „Correlated Threats“ wird ein Problem generiert, das eine Reihe von zusammenhängenden schädlichen Aktivitäten darstellt.

Dieses Feature bietet mehrere Vorteile:

• Warnungsmüdigkeit wird reduziert, da zahlreiche Ergebnisse in kritischen Problemen zusammengefasst werden.
• Die Erkennungsgenauigkeit wird durch die Kombination mehrerer Signale verbessert, was dazu beiträgt, dass verdächtige Aktivitäten zuverlässiger erkannt werden.
• Hier wird die Angriffskette visualisiert und gezeigt, wie Ereignisse zusammenhängen, um eine vollständige Geschichte des Angriffs zu erzählen. So können Sie die Schritte von Angreifern vorhersehen und kompromittierte Assets schnell identifizieren.
• Wichtige Bedrohungen werden hervorgehoben und es werden klare Empfehlungen gegeben, damit Sie Ihre Reaktion priorisieren und beschleunigen können.

Funktionsweise von korrelierten Bedrohungen

Bei der Funktion „Korrelierte Bedrohungen“ werden mithilfe einer Regelausführungsumgebung zusammengehörige Sicherheitsergebnisse identifiziert und gruppiert.

Die Regelausführung fragt den Sicherheitsgraph mit vordefinierten Abfragen für korrelierte Bedrohungen ab. Die Engine übersetzt diese Abfrageergebnisse dann in Probleme. Security Command Center verwaltet den Lebenszyklus dieser Bedrohungsprobleme. Ein Problem bleibt 14 Tage nach dem ersten Bedrohungsbefund aktiv, wenn Sie es nicht ausblenden oder als inaktiv markieren. Dieser Zeitraum wird automatisch festgelegt und kann nicht konfiguriert werden. Zusammenhängende Bedrohungen werden automatisch behoben, wenn die zugrunde liegenden Ressourcen wie VMs oder Google Kubernetes Engine-Knoten gelöscht werden.

Für „Correlated Threats“ sind häufigere Regelausführungen als für andere Regeln im Sicherheitsdiagramm erforderlich. Das System verarbeitet Bedrohungsregeln stündlich. Dieser Ansatz wird in bestehende Security Command Center-Erkennungsquellen integriert.

Regeln für korrelierte Bedrohungen

Mithilfe von korrelierten Bedrohungen lassen sich verschiedene mehrstufige Angriffsmuster für Cloud-Ressourcen erkennen. Die folgenden Regeln für korrelierte Bedrohungen sind verfügbar:

• Mehrere korrelierte Bedrohungssignale von Kryptowährungs-Mining-Software: Diese Regel sucht nach mehreren unterschiedlichen Signalen von schädlicher Software, die von Google Cloud virtuellen Maschinen stammen, einschließlich Compute Engine-VMs und Google Kubernetes Engine-Knoten (GKE) (und deren Pods).

  Beispiele:

  • VM Threat Detection erkennt ein Kryptowährungsprogramm und Event Threat Detection erkennt Verbindungen zu Kryptowährungs-IP-Adressen oder ‑Domains von derselben VM.
  • Container Threat Detection erkennt ein Programm, das das Stratum-Protokoll für das Mining von Kryptowährungen verwendet, und Event Threat Detection erkennt eine Verbindung zu einer IP-Adresse für das Mining von Kryptowährungen vom selben Google Kubernetes Engine-Knoten.

• Mehrere korrelierte Bedrohungssignale für schädliche Software: Bei dieser Regel wird nach mehreren unterschiedlichen Signalen für schädliche Software gesucht, die vonGoogle Cloud virtuellen Maschinen stammen, einschließlich Compute Engine-VMs und GKE-Knoten (und deren Pods).

  Beispiele:

  • Container Threat Detection erkennt die Ausführung einer schädlichen Binärdatei und eines schädlichen Python-Skripts im selben Pod.
  • Event Threat Detection erkennt eine Verbindung zu einer Malware-IP-Adresse und VM Threat Detection erkennt Malware auf der Festplatte in derselben VM.

• Seitliche Bewegung eines potenziell gehackten GCP-Kontos zu einer gehackten Computeressource: Diese Regel sucht nach Hinweisen auf verdächtige Aufrufe von Compute-APIs (Compute Engine oder GKE), die eine VM oder einen Pod ändern. Die Regel setzt diese Aktivität dann in Beziehung zu schädlichen Aktivitäten, die innerhalb kurzer Zeit von der Computeressource ausgehen. Angreifer verwenden dieses Muster für das „Lateral Movement“ häufig. Diese Regel weist darauf hin, dass die VM oder der Pod wahrscheinlich manipuliert wurde. Diese Regel weist auch darauf hin, dass dasGoogle Cloud -Konto (Nutzer- oder Dienstkonto) möglicherweise die Ursache der schädlichen Aktivität ist.

  Beispiele:

  • Event Threat Detection erkennt, dass ein Nutzer einer Compute Engine-Instanz einen neuen SSH-Schlüssel hinzugefügt hat, und VM Threat Detection erkennt, dass auf derselben Instanz ein Cryptocurrency-Miner ausgeführt wird.
  • Event Threat Detection erkennt, dass ein Dienstkonto über die Compute Engine API aus dem Tor-Netzwerk auf eine Instanz zugegriffen hat, und Event Threat Detection erkennt Verbindungen zu einer schädlichen IP-Adresse von derselben Instanz.
  • Event Threat Detection erkennt, dass ein Nutzer einen privilegierten Container erstellt hat, und Container Threat Detection erkennt, dass der Container über denselben Pod auf sensible Dateien auf dem GKE-Knoten zugegriffen hat.

Korrelierte Bedrohungen untersuchen

Mit korrelierten Bedrohungen werden Sie durch einen strukturierten Untersuchungsprozess geführt. So können Sie Sicherheitsvorfälle besser nachvollziehen und effektiv darauf reagieren. Im Index der Bedrohungsergebnisse finden Sie weitere Informationen zu einem bestimmten Bedrohungsergebnis. Auf jeder ergebnisbezogenen Seite wird beschrieben, wie Sie die Bedrohung untersuchen und darauf reagieren können.

Empfang

Sie erhalten über Security Command Center ein Problem mit korrelierten Bedrohungen. Dieses Problem weist darauf hin, dass das System mehrere verdächtige Ergebnisse erkannt und gruppiert hat. Sie erkennen dieses Problem als „Hohe Priorität“, da es als Aktive Bedrohung markiert ist. Die Korrelation mehrerer Signale deutet auf ein echtes Positiv hin, das sofortige Aufmerksamkeit erfordert. Weitere Informationen finden Sie unter Probleme verwalten und beheben.

Rückbau

Öffnen Sie die Ausgabe, um die einzelnen Teile zu sehen. In der Ansicht mit den Problemdetails können Sie einen Abschnitt maximieren, um die einzelnen Ergebnisse zu sehen. Wenn beispielsweise ein schädliches Script auf einem GKE-Knoten ausgeführt wird und dann eine Verbindung zu einer schädlichen IP-Adresse herstellt, werden beide Ereignisse zusammen angezeigt. Sehen Sie sich die Details der einzelnen Ergebnisse an, z. B. wann sie aufgetreten sind, welche Prozesse beteiligt waren, die schädlichen IP-Adressen und wo die Erkennung erfolgte. Diese Informationen deuten darauf hin, dass die Ereignisse möglicherweise zusammenhängen, und enthalten die technischen Details des Angriffs. Eine chronologische Ansicht zeigt die Reihenfolge der Ereignisse. Das System ordnet diese Details den Phasen der MITRE ATT&CK-Angriffskette zu und stellt sie in einer Visualisierung der Angriffskette dar. Diese Funktion bietet Ihnen sofortigen Kontext zur Angriffsphase.

Bereichsidentifizierung

Bestimmen Sie das Ausmaß der Bedrohung. Kontextinformationen zu den korrelierten Ereignissen ansehen, z. B. das betroffene Asset und den Projekt- oder Clusterkontext. Die Plattform korreliert Probleme nach Ressource und verwendet eindeutige Kennzeichnungen, um Ereignisse demselben Knoten zuzuordnen. Hier sehen Sie das betroffene Asset. Prüfen Sie, ob andere Assets ähnliche Anzeichen aufweisen. Notieren Sie sich die beteiligten Identitäten, z. B. das Dienstkonto oder den Nutzer, der das schädliche Skript ausgeführt hat. Diese eingeschränkte Ansicht hilft Ihnen, sich auf die betroffenen Systeme zu konzentrieren und zu bestätigen, ob das Problem lokal oder weit verbreitet ist.

Nächste Aktionen

Probleme mit korrelierten Bedrohungen werden vom System mit dem Schweregrad „Kritisch“ gekennzeichnet. Empfohlene Maßnahmen finden Sie in den Ansichten So beheben Sie das Problem. Das betroffene Asset eindämmen, z. B. durch Isolieren oder Herunterfahren des betroffenen GKE-Knotens. Folgen Sie Empfehlungen wie dem Blockieren der bekannten schädlichen IP-Adresse auf Firewall- oder Cloud-VPC-Ebene. Die empfohlenen Maßnahmen helfen Ihnen, schneller zu reagieren, den Vorfall einzudämmen und eine gezielte Untersuchung einzuleiten. Weitere Informationen zu Bedrohungen finden Sie unter Bedrohungen untersuchen.

Nächste Schritte

• Container Threat Detection – Übersicht
• Event Threat Detection – Übersicht
• Virtual Machine Threat Detection – Übersicht
• Probleme verwalten und beheben