Visão geral das ameaças correlacionadas

O recurso de ameaças correlacionadas do Security Command Center ajuda a descobrir ameaças ativas críticas no seu ambiente. As ameaças correlacionadas geram um conjunto de descobertas de ameaças relacionadas e oferecem explicações detalhadas sobre elas, que podem ser usadas para priorizar, entender e responder a essas ameaças.

As equipes de segurança geralmente sofrem com a fadiga de alerta ao gerenciar um número excessivo de descobertas de ameaças. Essa situação pode levar a respostas perdidas ou atrasadas. Essas equipes precisam de informações relevantes e priorizadas rapidamente para identificar atividades pós-exploração.

As ameaças correlacionadas ajudam agregando várias descobertas de ameaças relacionadas em um problema. Essa agregação ajuda a fornecer detecções mais confiáveis para que você possa agir. O Correlated Threats gera um problema, que representa uma série de atividades maliciosas relacionadas.

Esse recurso oferece vários benefícios:

• Reduz a fadiga de alertas ao consolidar várias descobertas em problemas críticos.
• Aumenta a fidelidade da detecção combinando vários indicadores, o que ajuda a aumentar a confiança na detecção de atividades maliciosas.
• Mostra uma visualização da cadeia de ataque, mostrando como os eventos se conectam para ajudar a formar uma história completa de ataque. Essa abordagem ajuda a antecipar os movimentos do adversário e identificar rapidamente os recursos comprometidos.
• Destaca ameaças críticas e oferece recomendações claras, ajudando você a priorizar e acelerar sua resposta.

Como as ameaças correlacionadas funcionam

O recurso "Ameaças correlacionadas" usa um mecanismo de regras para identificar e agrupar descobertas de segurança relacionadas.

O mecanismo de regras consulta o grafo de segurança com consultas de ameaças correlacionadas predefinidas. Em seguida, o mecanismo traduz esses resultados em problemas. O Security Command Center gerencia o ciclo de vida desses problemas de ameaças. Um problema permanece ativo por 14 dias após a primeira descoberta de ameaça, se você não silenciar ou marcar como inativo. Esse período é definido automaticamente e não pode ser configurado. As ameaças correlacionadas são resolvidas automaticamente se os recursos subjacentes, como VMs ou nós do Google Kubernetes Engine, forem excluídos.

As ameaças correlacionadas exigem execuções de regras mais frequentes do que outras regras do gráfico de segurança. O sistema processa as regras de ameaça a cada hora. Essa abordagem se integra às fontes de detecção do Security Command Center.

Regras de ameaças correlacionadas

As ameaças correlacionadas ajudam a identificar vários padrões de ataques de vários estágios em recursos da nuvem. As seguintes regras de ameaças correlacionadas estão disponíveis:

• Vários indicadores de ameaças correlacionados de software de mineração de criptomoedas: essa regra procura vários indicadores distintos de software malicioso provenientes de máquinas virtuais Google Cloud , incluindo VMs do Compute Engine e nós do Google Kubernetes Engine (GKE) (e os pods deles).

  Os exemplos incluem:

  • A VM Threat Detection detecta um programa de criptomoedas, e a Event Threat Detection detecta conexões com endereços IP ou domínios de criptomoedas da mesma VM.
  • A detecção de ameaças em contêineres detecta um programa que está usando o protocolo de mineração de criptomoedas, e a detecção de ameaças a eventos detecta uma conexão com um endereço IP de mineração de criptomoedas do mesmo nó do Google Kubernetes Engine.

• Vários indicadores de ameaças correlacionados de software malicioso: essa regra procura vários indicadores distintos de software malicioso provenientes de máquinas virtuaisGoogle Cloud , incluindo VMs do Compute Engine e nós do GKE (e os pods deles).

  Os exemplos incluem:

  • O Container Threat Detection detecta a execução de um binário malicioso e um script Python malicioso no mesmo pod.
  • O Event Threat Detection detecta uma conexão com um endereço IP de malware, e a VM Threat Detection detecta malware no disco da mesma VM.

• Movimento lateral de uma conta do GCP potencialmente comprometida para um recurso de computação comprometido: essa regra procura evidências de chamadas suspeitas para APIs de computação (Compute Engine ou GKE) que modificam uma VM ou um pod. Em seguida, a regra correlaciona essa atividade com atividades maliciosas originadas do recurso de computação em um curto período. Os invasores costumam usar esse padrão de movimento lateral. Essa regra indica que a VM ou o pod provavelmente estão comprometidos. Essa regra também indica que a contaGoogle Cloud (de usuário ou de serviço) pode ser a causa da atividade maliciosa.

  Os exemplos incluem:

  • A detecção de ameaças a eventos detecta que um usuário adicionou uma nova chave SSH a uma instância do Compute Engine, e a detecção de ameaças a VMs detecta um minerador de criptomoedas em execução na mesma instância.
  • A detecção de ameaças de eventos detecta que uma conta de serviço acessou uma instância usando a API Compute Engine na rede Tor, e detecta conexões com um endereço IP malicioso na mesma instância.
  • A detecção de ameaças a eventos detecta que um usuário criou um contêiner privilegiado e a detecção de ameaças a contêineres detecta que o contêiner acessou arquivos sensíveis no nó do GKE do mesmo pod.

Investigar ameaças correlacionadas

As ameaças correlacionadas orientam você em um processo de investigação estruturado. Esse processo ajuda você a entender e responder a incidentes de segurança de forma eficaz. Use o Índice de descobertas de ameaças para encontrar mais informações sobre uma descoberta de ameaça específica. Cada página específica de descoberta descreve como investigar e responder à ameaça.

Recepção

Você recebe um problema de ameaças correlacionadas pelo Security Command Center. Esse problema indica que o sistema detectou e agrupou várias descobertas suspeitas. Você reconhece esse problema como de alta prioridade porque ele está marcado como uma ameaça ativa. A correlação de vários indicadores aponta para um verdadeiro positivo que exige atenção imediata. Para mais informações, consulte Gerenciar e corrigir problemas.

Desconstrução

Abra a edição para ver as partes dela. Na visualização de detalhes do problema, é possível abrir uma seção para conferir as descobertas individuais. Por exemplo, se um script prejudicial for executado em um nó do GKE e se conectar a um endereço IP malicioso, os dois eventos vão aparecer juntos. Confira os detalhes de cada descoberta, como quando ela ocorreu, quais processos estavam envolvidos, os endereços IP maliciosos e de onde veio a detecção. Essas informações indicam que os eventos estão potencialmente relacionados e explicam os detalhes técnicos do ataque. Uma visualização cronológica mostra a sequência de eventos. O sistema mapeia esses detalhes para os estágios da cadeia de ataque do MITRE ATT&CK e os apresenta em uma visualização da cadeia de ataque. Esse recurso oferece contexto imediato sobre a fase do ataque.

Identificação do escopo

Determine a extensão da ameaça. Verifique informações contextuais sobre os eventos correlacionados, como o recurso afetado e o contexto do projeto ou cluster. A plataforma correlaciona problemas por recurso, usando identificadores exclusivos para vincular eventos ao mesmo nó. Isso mostra o recurso afetado. Verifique se outros recursos mostram sinais semelhantes. Observe as identidades envolvidas, como a conta de serviço ou o usuário que executou o script malicioso. Essa visualização com escopo ajuda você a se concentrar nos sistemas afetados e confirma se o incidente é localizado ou generalizado.

Próximas ações

O sistema marca problemas de ameaças correlacionadas com uma gravidade crítica. Você pode encontrar ações recomendadas nas visualizações Como corrigir. Contenha o recurso afetado, por exemplo, isolando ou desligando o nó do GKE afetado. Siga as recomendações, como bloquear o IP malicioso conhecido no firewall ou no nível da VPC da nuvem. As ações recomendadas ajudam você a responder mais rápido, conter o incidente e iniciar uma investigação focada. Para mais informações sobre ameaças, consulte Como investigar ameaças.

A seguir

• Visão geral da detecção de ameaças de contêiner
• Visão geral da detecção de ameaças de eventos
• Visão geral da Detecção de ameaças a máquinas virtuais
• Saiba como gerenciar e corrigir problemas