Présentation des menaces corrélées

La fonctionnalité Menaces corrélées de Security Command Center vous aide à découvrir les menaces actives critiques dans votre environnement. Les résultats des menaces corrélées fournissent un ensemble de résultats de menaces associés et des explications détaillées sur ces résultats. Vous pouvez ensuite les utiliser pour hiérarchiser, comprendre et traiter ces menaces.

Les équipes de sécurité sont souvent lassées des alertes, car elles doivent gérer un nombre impressionnant de résultats de détection des menaces. Cela peut entraîner des réponses manquées ou retardées. Ces équipes ont besoin d'informations pertinentes et prioritaires pour identifier rapidement les activités post-exploitation.

Les menaces corrélées vous aident en regroupant plusieurs résultats de menaces associés dans un problème. Cette agrégation permet de fournir des détections plus fiables sur lesquelles vous pouvez agir. La fonctionnalité Menaces corrélées génère un problème, qui représente une série d'activités malveillantes associées.

Cette fonctionnalité présente plusieurs avantages :

• Réduit la fatigue liée aux alertes en regroupant de nombreux résultats dans des problèmes critiques.
• Améliore la fidélité de la détection en combinant plusieurs signaux, ce qui permet d'accroître la fiabilité de la détection des activités malveillantes.
• Fournit une visualisation de la chaîne d'attaque, montrant comment les événements sont liés pour former un récit complet de l'attaque. Cette approche vous aide à anticiper les mouvements de l'adversaire et à identifier rapidement les ressources compromises.
• Il met en évidence les menaces critiques et fournit des recommandations claires pour vous aider à hiérarchiser vos réponses et à les accélérer.

Fonctionnement des menaces corrélées

La fonctionnalité Menaces corrélées utilise un moteur de règles pour identifier et regrouper les résultats de sécurité associés.

Le moteur de règles interroge le graphique de sécurité avec des requêtes prédéfinies sur les menaces corrélées. Le moteur traduit ensuite ces résultats de requête en problèmes. Security Command Center gère le cycle de vie de ces problèmes de menaces. Un problème reste actif pendant 14 jours après le premier résultat de menace si vous ne l'ignorez pas ou ne le marquez pas comme inactif. Cette période est définie automatiquement et ne peut pas être configurée. Les menaces corrélées sont résolues automatiquement si les ressources sous-jacentes, telles que les VM ou les nœuds Google Kubernetes Engine, sont supprimées.

Les menaces corrélées nécessitent des exécutions de règles plus fréquentes que les autres règles du graphique de sécurité. Le système traite les règles de menace toutes les heures. Cette approche s'intègre aux sources de détection Security Command Center existantes.

Règles sur les menaces corrélées

Les menaces corrélées permettent d'identifier différents schémas d'attaque en plusieurs étapes dans les ressources cloud. Les règles de menaces corrélées suivantes sont disponibles :

• Plusieurs signaux de menace corrélés de logiciels de minage de cryptomonnaie : cette règle recherche plusieurs signaux distincts de logiciels malveillants provenant de machines virtuelles Google Cloud , y compris des VM Compute Engine et des nœuds Google Kubernetes Engine (GKE) (ainsi que leurs pods).

  Voici quelques exemples :

  • VM Threat Detection détecte un programme de cryptomonnaie et Event Threat Detection détecte les connexions à des adresses IP ou des domaines de cryptomonnaie à partir de la même VM.
  • Container Threat Detection détecte un programme qui utilise le protocole stratum de minage de cryptomonnaie, et Event Threat Detection détecte une connexion à une adresse IP de minage de cryptomonnaie à partir du même nœud Google Kubernetes Engine.

• Plusieurs signaux de menace corrélés de logiciels malveillants : cette règle recherche plusieurs signaux distincts de logiciels malveillants provenant de machines virtuellesGoogle Cloud , y compris des VM Compute Engine et des nœuds GKE (ainsi que leurs pods).

  Voici quelques exemples :

  • Container Threat Detection détecte l'exécution d'un fichier binaire malveillant et d'un script Python malveillant dans le même pod.
  • Event Threat Detection détecte une connexion à une adresse IP de logiciel malveillant, tandis que VM Threat Detection détecte un logiciel malveillant sur le disque de la même VM.

• Mouvement latéral d'un compte GCP potentiellement compromis vers une instance GCE compromise : cette règle recherche des preuves d'appels suspects aux API Compute Engine qui modifient une VM (y compris les nœuds GKE). La règle met ensuite en corrélation cette activité avec une activité malveillante provenant de la VM dans un court laps de temps. Ce modèle de déplacement latéral courant est utilisé par les pirates informatiques. Cette règle peut indiquer que la VM est compromise. Cette règle peut également indiquer que le compte Google Cloud(utilisateur ou de service) est peut-être à l'origine de l'activité malveillante.

  Voici quelques exemples :

  • Event Threat Detection détecte qu'un utilisateur a ajouté une clé SSH à une instance Compute Engine, et VM Threat Detection détecte un mineur de cryptomonnaie s'exécutant sur la même instance.
  • Event Threat Detection détecte qu'un compte de service a accédé à une instance à l'aide de l'API Compute Engine depuis le réseau Tor, et détecte les connexions à une adresse IP malveillante depuis la même instance.

Examiner les menaces corrélées

Les menaces corrélées vous guident tout au long d'un processus d'investigation structuré. Ce processus vous aide à comprendre les incidents de sécurité et à y répondre efficacement. Vous pouvez utiliser l'index des résultats de menace pour en savoir plus sur un résultat de menace spécifique. Chaque page spécifique à un résultat décrit comment examiner la menace et y répondre.

Réception

Vous recevez un problème de menaces corrélées via Security Command Center. Ce problème indique que le système a détecté et regroupé plusieurs résultats suspects. Vous reconnaissez que ce problème est de haute priorité, car il est marqué comme Menace active. La corrélation de plusieurs signaux indique un vrai positif qui nécessite une attention immédiate. Pour en savoir plus, consultez Gérer et résoudre les problèmes.

Déconstruction

Ouvrez le problème pour voir ses différentes parties. Dans la vue des détails du problème, vous pouvez développer une section pour afficher les résultats individuels. Par exemple, si un script malveillant s'exécute sur un nœud GKE, puis se connecte à une adresse IP malveillante, les deux événements s'affichent ensemble. Consultez les détails de chaque résultat, comme la date à laquelle il s'est produit, les processus impliqués, les adresses IP malveillantes et la source de la détection. Ces informations indiquent que les événements sont potentiellement liés et expliquent les détails techniques de l'attaque. Une vue chronologique affiche la séquence des événements. Le système mappe ces détails aux étapes de la chaîne d'attaque MITRE ATT&CK et les présente dans une visualisation de la chaîne d'attaque. Cette fonctionnalité vous permet d'obtenir immédiatement le contexte de l'étape d'attaque.

Identification du champ d'application

Déterminez l'étendue de la menace. Consultez les informations contextuelles sur les événements corrélés, comme l'asset concerné et le contexte de son projet ou cluster. La plate-forme met en corrélation les problèmes par ressource, en utilisant des identifiants uniques pour associer les événements au même nœud. L'élément concerné est indiqué. Vérifiez si d'autres composants présentent des signes similaires. Notez les identités impliquées, comme le compte de service ou l'utilisateur ayant exécuté le script malveillant. Cette vue limitée vous aide à vous concentrer sur les systèmes concernés et à déterminer si l'incident est localisé ou généralisé.

Actions suivantes

Le système attribue un niveau de gravité critique aux problèmes de menace corrélée. Vous trouverez les actions recommandées dans les vues Comment résoudre le problème. Contenez l'élément concerné, par exemple en isolant ou en arrêtant le nœud GKE affecté. Suivez les recommandations, par exemple en bloquant l'adresse IP malveillante connue au niveau du pare-feu ou du VPC cloud. Les actions recommandées vous aident à répondre plus rapidement, à contenir l'incident et à lancer une investigation ciblée. Pour en savoir plus sur les menaces, consultez Enquêter sur les menaces.

Étapes suivantes

• Présentation de Container Threat Detection
• Présentation d'Event Threat Detection
• Présentation de Virtual Machine Threat Detection
• Découvrez comment gérer et résoudre les problèmes.