Korrelierte Bedrohungen – Übersicht

Mit der Funktion „Korrelierte Bedrohungen“ im Security Command Center können Sie kritische aktive Bedrohungen in Ihrer Umgebung aufdecken. Die Ausgabe von „Correlated Threats“ umfasst eine Reihe von zusammenhängenden Bedrohungsergebnissen und detaillierte Erklärungen zu diesen Ergebnissen. Anhand dieser Informationen können Sie die Bedrohungen priorisieren, nachvollziehen und auf sie reagieren.

Sicherheitsteams sind oft von der überwältigenden Anzahl von Bedrohungsbefunden überfordert. Das kann dazu führen, dass Antworten verpasst oder verzögert werden. Diese Teams benötigen schnell priorisierte und relevante Informationen, um Aktivitäten nach einem Exploit zu erkennen.

Mithilfe von korrelierten Bedrohungen werden mehrere zusammengehörige Bedrohungsbefunde in einem Problem zusammengefasst. Durch diese Aggregation können Sie sich auf die erkannten Verstöße verlassen und entsprechende Maßnahmen ergreifen. Bei „Correlated Threats“ wird ein Problem generiert, das eine Reihe von zusammenhängenden schädlichen Aktivitäten darstellt.

Dieses Feature bietet mehrere Vorteile:

• Warnungsmüdigkeit wird reduziert, da zahlreiche Ergebnisse in kritischen Problemen zusammengefasst werden.
• Die Erkennungsgenauigkeit wird durch die Kombination mehrerer Signale verbessert, was dazu beiträgt, dass verdächtige Aktivitäten zuverlässiger erkannt werden.
• Hier wird die Angriffskette visualisiert und es wird gezeigt, wie Ereignisse zusammenhängen, um eine vollständige Geschichte des Angriffs zu erzählen. So können Sie die Schritte von Angreifern vorhersehen und kompromittierte Assets schnell erkennen.
• Wichtige Bedrohungen werden hervorgehoben und es werden klare Empfehlungen gegeben, damit Sie Ihre Reaktion priorisieren und beschleunigen können.

Funktionsweise von korrelierten Bedrohungen

Bei der Funktion „Korrelierte Bedrohungen“ werden mithilfe einer Regelausführungsumgebung zusammengehörige Sicherheitsergebnisse identifiziert und gruppiert.

Die Regelausführungsumgebung fragt den Sicherheitsgraphen mit vordefinierten Abfragen für korrelierte Bedrohungen ab. Die Engine übersetzt diese Abfrageergebnisse dann in Probleme. Security Command Center verwaltet den Lebenszyklus dieser Bedrohungsprobleme. Ein Problem bleibt 14 Tage lang aktiv, nachdem die erste Bedrohung erkannt wurde, sofern Sie es nicht ausblenden oder als inaktiv markieren. Dieser Zeitraum wird automatisch festgelegt und kann nicht konfiguriert werden. Zusammenhängende Bedrohungen werden automatisch behoben, wenn die zugrunde liegenden Ressourcen wie VMs oder Google Kubernetes Engine-Knoten gelöscht werden.

Für korrelierte Bedrohungen sind häufigere Regelausführungen als für andere Regeln für den Sicherheitsgraphen erforderlich. Das System verarbeitet Bedrohungsregeln stündlich. Dieser Ansatz wird in bestehende Security Command Center-Erkennungsquellen integriert.

Regeln für korrelierte Bedrohungen

Mithilfe von korrelierten Bedrohungen lassen sich verschiedene mehrstufige Angriffsmuster für Cloud-Ressourcen erkennen. Die folgenden Regeln für korrelierte Bedrohungen sind verfügbar:

• Mehrere korrelierte Bedrohungssignale von Kryptowährungs-Mining-Software: Diese Regel sucht nach mehreren unterschiedlichen Signalen für schädliche Software, die von Google Cloud virtuellen Maschinen stammen, einschließlich Compute Engine-VMs und Google Kubernetes Engine-Knoten (GKE) (und deren Pods).

  Beispiele:

  • VM Threat Detection erkennt ein Kryptowährungsprogramm und Event Threat Detection erkennt Verbindungen zu Kryptowährungs-IP-Adressen oder ‑Domains von derselben VM.
  • Container Threat Detection erkennt ein Programm, das das Stratum-Protokoll für das Mining von Kryptowährungen verwendet, und Event Threat Detection erkennt eine Verbindung zu einer IP-Adresse für das Mining von Kryptowährungen vom selben Google Kubernetes Engine-Knoten.

• Mehrere korrelierte Bedrohungssignale für schädliche Software: Bei dieser Regel wird nach mehreren unterschiedlichen Signalen für schädliche Software gesucht, die vonGoogle Cloud virtuellen Maschinen stammen, einschließlich Compute Engine-VMs und GKE-Knoten (und deren Pods).

  Beispiele:

  • Container Threat Detection erkennt die Ausführung einer schädlichen Binärdatei und eines schädlichen Python-Skripts im selben Pod.
  • Event Threat Detection erkennt eine Verbindung zu einer Malware-IP-Adresse und VM Threat Detection erkennt Malware auf der Festplatte in derselben VM.

• Mögliche laterale Bewegung von einem potenziell kompromittierten GCP-Konto zu einer kompromittierten GCE-Instanz: Diese Regel sucht nach Hinweisen auf verdächtige Aufrufe von Compute Engine-APIs, die eine VM (einschließlich GKE-Knoten) ändern. Die Regel korreliert diese Aktivität dann mit schädlichen Aktivitäten, die innerhalb eines kurzen Zeitraums von der VM ausgehen. Dieses gängige Muster für Lateral Movement wird von Angreifern verwendet. Diese Regel kann darauf hindeuten, dass die VM manipuliert wurde. Diese Regel kann auch darauf hinweisen, dass das Google Cloud-Konto (entweder Nutzer- oder Dienstkonto) die Ursache für die schädliche Aktivität sein könnte.

  Beispiele:

  • Event Threat Detection erkennt, dass ein Nutzer einer Compute Engine-Instanz einen neuen SSH-Schlüssel hinzugefügt hat, und VM Threat Detection erkennt, dass auf derselben Instanz ein Cryptocurrency-Miner ausgeführt wird.
  • Event Threat Detection erkennt, dass ein Dienstkonto über die Compute Engine API aus dem Tor-Netzwerk auf eine Instanz zugegriffen hat, und Event Threat Detection erkennt Verbindungen zu einer schädlichen IP-Adresse von derselben Instanz.

Korrelierte Bedrohungen untersuchen

Mit korrelierten Bedrohungen werden Sie durch einen strukturierten Untersuchungsprozess geführt. Dieser Prozess hilft Ihnen, Sicherheitsvorfälle effektiv zu verstehen und darauf zu reagieren. Im Index der Bedrohungsergebnisse finden Sie weitere Informationen zu einem bestimmten Bedrohungsergebnis. Auf jeder seitenbezogenen Seite wird beschrieben, wie Sie die Bedrohung untersuchen und darauf reagieren können.

Empfang

Sie erhalten über Security Command Center ein Problem mit korrelierten Bedrohungen. Dieses Problem weist darauf hin, dass das System mehrere verdächtige Ergebnisse erkannt und gruppiert hat. Sie erkennen dieses Problem als mit hoher Priorität, da es als Aktive Bedrohung markiert ist. Die Korrelation mehrerer Signale deutet auf ein echtes Positiv hin, das sofortige Aufmerksamkeit erfordert. Weitere Informationen finden Sie unter Probleme verwalten und beheben.

Rückbau

Öffnen Sie die Ausgabe, um die einzelnen Teile zu sehen. In der Ansicht mit den Problemdetails können Sie einen Abschnitt maximieren, um die einzelnen Ergebnisse zu sehen. Wenn beispielsweise ein schädliches Script auf einem GKE-Knoten ausgeführt wird und dann eine Verbindung zu einer schädlichen IP-Adresse herstellt, werden beide Ereignisse zusammen angezeigt. Sehen Sie sich die Details der einzelnen Ergebnisse an, z. B. wann sie aufgetreten sind, welche Prozesse beteiligt waren, die schädlichen IP-Adressen und wo die Erkennung erfolgte. Diese Informationen deuten darauf hin, dass die Ereignisse möglicherweise zusammenhängen, und enthalten die technischen Details des Angriffs. Eine chronologische Ansicht zeigt die Reihenfolge der Ereignisse. Das System ordnet diese Details den Phasen der MITRE ATT&CK-Angriffskette zu und stellt sie in einer Visualisierung der Angriffskette dar. Diese Funktion bietet Ihnen sofortigen Kontext zur Angriffsphase.

Bereichsidentifizierung

Bestimmen Sie das Ausmaß der Bedrohung. Sehen Sie sich Kontextinformationen zu den korrelierten Ereignissen an, z. B. das betroffene Asset und den Projekt- oder Clusterkontext. Die Plattform korreliert Probleme nach Ressource und verwendet eindeutige Kennzeichnungen, um Ereignisse demselben Knoten zuzuordnen. Hier sehen Sie das betroffene Asset. Prüfen Sie, ob andere Assets ähnliche Anzeichen aufweisen. Notieren Sie sich die beteiligten Identitäten, z. B. das Dienstkonto oder den Nutzer, der das schädliche Skript ausgeführt hat. Diese eingeschränkte Ansicht hilft Ihnen, sich auf die betroffenen Systeme zu konzentrieren und zu bestätigen, ob das Problem lokal oder weit verbreitet ist.

Nächste Aktionen

Probleme mit korrelierten Bedrohungen werden vom System mit dem Schweregrad „Kritisch“ gekennzeichnet. Empfohlene Maßnahmen finden Sie in den Ansichten So beheben Sie das Problem. Das betroffene Asset eindämmen, z. B. durch Isolieren oder Herunterfahren des betroffenen GKE-Knotens. Folgen Sie Empfehlungen wie dem Blockieren der bekannten schädlichen IP-Adresse auf Firewall- oder Cloud-VPC-Ebene. Die empfohlenen Maßnahmen helfen Ihnen, schneller zu reagieren, den Vorfall einzudämmen und eine gezielte Untersuchung einzuleiten. Weitere Informationen zu Bedrohungen finden Sie unter Bedrohungen untersuchen.

Nächste Schritte

• Container Threat Detection – Übersicht
• Event Threat Detection – Übersicht
• Virtual Machine Threat Detection – Übersicht
• Informationen zum Verwalten und Beheben von Problemen