Esta página foi traduzida pela API Cloud Translation.

Vista geral das ameaças correlacionadas

A funcionalidade Ameaças correlacionadas no Security Command Center ajuda a descobrir ameaças ativas críticas no seu ambiente. O Correlated Threats gera um conjunto de resultados de ameaças relacionadas e fornece explicações detalhadas sobre estes resultados, que pode usar para priorizar, compreender e responder a estas ameaças.

As equipas de segurança sofrem frequentemente de fadiga de alertas devido à gestão de um número excessivo de resultados de ameaças. Esta situação pode levar a respostas perdidas ou atrasadas. Estas equipas precisam de informações relevantes e prioritárias rapidamente para identificar a atividade pós-exploração.

As ameaças correlacionadas ajudam a agregar várias conclusões de ameaças relacionadas num problema. Esta agregação ajuda a fornecer deteções com maior confiança sobre as quais pode tomar medidas. As ameaças correlacionadas geram um problema que representa uma série de atividades maliciosas relacionadas.

Esta funcionalidade oferece várias vantagens:

Reduz a fadiga de alertas consolidando várias descobertas em problemas críticos.
Melhora a fidelidade da deteção combinando vários sinais, o que ajuda a aumentar a confiança na deteção de atividade maliciosa.
Oferece uma visualização da cadeia de ataque, mostrando como os eventos se relacionam para ajudar a formar uma história de ataque completa. Esta abordagem ajuda a antecipar os movimentos dos adversários e a identificar rapidamente os recursos comprometidos.
Realça ameaças críticas e fornece recomendações claras, ajudando a priorizar e acelerar a sua resposta.

Como funcionam as ameaças correlacionadas

A funcionalidade Ameaças correlacionadas usa um motor de regras para identificar e agrupar conclusões de segurança relacionadas.

O motor de regras consulta o gráfico de segurança com consultas de ameaças correlacionadas predefinidas. Em seguida, o motor traduz estes resultados da consulta em problemas. O Security Command Center gere o ciclo de vida destes problemas de ameaças. Um problema permanece ativo durante 14 dias após a primeira deteção de ameaças se não o desativar ou marcar como inativo. Este período é definido automaticamente e não pode ser configurado. As ameaças correlacionadas são resolvidas automaticamente se os recursos subjacentes, como VMs ou nós do Google Kubernetes Engine, forem eliminados.

As ameaças correlacionadas requerem execuções de regras mais frequentes do que outras regras do gráfico de segurança. O sistema processa as regras de ameaças de hora a hora. Esta abordagem integra-se com as origens de deteção do Security Command Center existentes.

Regras de ameaças correlacionadas

As ameaças correlacionadas ajudam a identificar vários padrões de ataques de várias fases em recursos da nuvem. Estão disponíveis as seguintes regras de ameaças correlacionadas:

Vários sinais de ameaças correlacionados de software de mineração de criptomoedas: Esta regra procura vários sinais distintos de software malicioso provenientes de Google Cloud máquinas virtuais, incluindo VMs do Compute Engine e nós do Google Kubernetes Engine (GKE) (e os respetivos pods).

Os exemplos incluem o seguinte:
- A Deteção de ameaças de VMs deteta um programa de criptomoeda e a Deteção de ameaças de eventos deteta ligações a endereços IP de criptomoedas ou domínios a partir da mesma VM.
- A Deteção de ameaças de contentores deteta um programa que está a usar o protocolo stratum de mineração de criptomoedas e a Deteção de ameaças de eventos deteta uma ligação a um endereço IP de mineração de criptomoedas a partir do mesmo nó do Google Kubernetes Engine.
Vários sinais de ameaças correlacionados de software malicioso: esta regra procura vários sinais distintos de software malicioso provenientes deGoogle Cloud máquinas virtuais, incluindo VMs do Compute Engine e nós do GKE (e os respetivos pods).

Os exemplos incluem o seguinte:
- A Deteção de ameaças de contentores deteta a execução de um ficheiro binário malicioso e de um script Python malicioso no mesmo pod.
- A Deteção de ameaças de eventos deteta uma ligação a um endereço IP de software malicioso e a Deteção de ameaças de VMs deteta software malicioso no disco na mesma VM.
Movimento lateral da conta do GCP potencialmente comprometida para o recurso de computação comprometido: esta regra procura provas de chamadas suspeitas para APIs de computação (Compute Engine ou GKE) que modificam uma VM ou um pod. Em seguida, a regra correlaciona essa atividade com atividade maliciosa que tem origem no recurso de computação num curto período. Os atacantes usam frequentemente este padrão de movimento lateral. Esta regra indica que a VM ou o pod estão provavelmente comprometidos. Esta regra também indica que a Google Cloud conta (de utilizador ou de serviço) pode ser a causa da atividade maliciosa.

Os exemplos incluem o seguinte:
- A Deteção de ameaças de eventos deteta que um utilizador adicionou uma nova chave SSH a uma instância do Compute Engine e a Deteção de ameaças de VMs deteta um minerador de criptomoedas em execução na mesma instância.
- A Deteção de ameaças de eventos deteta que uma conta de serviço acedeu a uma instância através da API Compute Engine a partir da rede Tor e a Deteção de ameaças de eventos deteta ligações a um endereço IP malicioso a partir da mesma instância.
- A Deteção de ameaças de eventos deteta que um utilizador criou um contentor privilegiado e a Deteção de ameaças de contentores deteta que o contentor acedeu a ficheiros confidenciais no nó do GKE a partir do mesmo pod.

Investigue ameaças correlacionadas

As ameaças correlacionadas oferecem-lhe orientações ao longo de um processo de investigação estruturado. Este processo ajuda a compreender e responder a incidentes de segurança de forma eficaz. Pode usar o Índice de resultados de ameaças para encontrar mais informações sobre um resultado de ameaça específico. Cada página específica de uma descoberta descreve como investigar e responder à ameaça.

Receção

Recebe um problema de ameaças correlacionadas através do Security Command Center. Este problema indica que o sistema detetou e agrupou várias conclusões suspeitas. Reconhece este problema como de alta prioridade, porque está marcado como uma ameaça ativa. A correlação de vários sinais indica um verdadeiro positivo que requer atenção imediata. Para mais informações, consulte o artigo Faça a gestão e a correção de problemas.

Desconstrução

Abra o problema para ver as respetivas partes. Na vista de detalhes do problema, pode expandir uma secção para ver as conclusões individuais. Por exemplo, se um script prejudicial for executado num nó do GKE e, em seguida, se ligar a um endereço IP malicioso, ambos os eventos aparecem em conjunto. Verifique os detalhes de cada descoberta, como quando ocorreu, que processos estiveram envolvidos, os endereços IP maliciosos e de onde veio a deteção. Estas informações indicam que os eventos estão potencialmente relacionados e explicam os detalhes técnicos do ataque. Uma vista cronológica mostra a sequência de eventos. O sistema mapeia estes detalhes para as fases da cadeia de ataque do MITRE ATT&CK e apresenta-os numa visualização da cadeia de ataque. Esta funcionalidade dá-lhe contexto imediato sobre a fase do ataque.

Identificação do âmbito

Determine a extensão da ameaça. Verifique as informações contextuais sobre os eventos correlacionados, como o recurso afetado e o respetivo contexto de projeto ou cluster. A plataforma correlaciona problemas por recurso, usando identificadores únicos para associar eventos ao mesmo nó. Isto mostra o recurso afetado. Verifique se outros recursos apresentam sinais semelhantes. Tenha em atenção as identidades envolvidas, como a conta de serviço ou o utilizador que executou o script malicioso. Esta vista com âmbito ajuda a focar-se nos sistemas afetados e confirma se o incidente é localizado ou generalizado.

Ações seguintes

O sistema marca os problemas de ameaças correlacionadas com uma gravidade crítica. Pode encontrar ações recomendadas nas vistas Como corrigir. Contenha o recurso afetado, por exemplo, isolando ou encerrando o nó do GKE afetado. Siga as recomendações, como bloquear o IP malicioso conhecido ao nível da firewall ou da VPC na nuvem. As ações recomendadas ajudam a responder mais rapidamente, a conter o incidente e a iniciar uma investigação focada. Para mais informações sobre ameaças, consulte o artigo Como investigar ameaças.