Fitur Ancaman yang Dikorelasikan di Security Command Center membantu Anda menemukan ancaman aktif yang kritis di lingkungan Anda. Output Correlated Threats adalah serangkaian temuan ancaman terkait dan memberikan penjelasan mendalam tentang temuan ini, yang kemudian dapat Anda gunakan untuk memprioritaskan, memahami, dan menanggapi ancaman tersebut.
Tim keamanan sering kali mengalami kelelahan dalam merespons peringatan karena harus mengelola sejumlah besar temuan ancaman. Situasi ini dapat menyebabkan respons terlewat atau tertunda. Tim ini memerlukan informasi yang diprioritaskan dan relevan dengan cepat untuk mengidentifikasi aktivitas pasca-eksploitasi.
Ancaman yang Berkorelasi membantu dengan menggabungkan beberapa temuan ancaman terkait menjadi satu masalah. Agregasi ini membantu memberikan deteksi dengan tingkat keyakinan yang lebih tinggi yang dapat Anda tindak lanjuti. Ancaman Berkorelasi menghasilkan masalah, yang merepresentasikan serangkaian aktivitas berbahaya terkait.
Fitur ini menawarkan beberapa manfaat:
- Mengurangi kelelahan merespons peringatan dengan menggabungkan banyak temuan menjadi masalah penting.
- Meningkatkan akurasi deteksi dengan menggabungkan beberapa sinyal, sehingga membantu meningkatkan keyakinan dalam mendeteksi aktivitas berbahaya.
- Memberikan visualisasi rantai serangan, yang menunjukkan cara peristiwa terhubung untuk membantu membentuk gambaran lengkap serangan. Pendekatan ini membantu Anda mengantisipasi langkah-langkah penyerang dan mengidentifikasi aset yang disusupi dengan cepat.
- Menyoroti ancaman penting dan memberikan rekomendasi yang jelas, sehingga membantu Anda memprioritaskan dan mempercepat respons.
Cara kerja Ancaman yang Berkorelasi
Fitur Ancaman yang Berkorelasi menggunakan mesin aturan untuk mengidentifikasi dan mengelompokkan temuan keamanan terkait.
Mesin aturan membuat kueri grafik keamanan dengan kueri Ancaman yang Berkorelasi yang telah ditentukan sebelumnya. Kemudian, mesin akan menerjemahkan hasil kueri ini menjadi masalah. Security Command Center mengelola siklus proses masalah ancaman ini. Masalah akan tetap aktif selama 14 hari setelah temuan ancaman pertama jika Anda tidak membisukan atau menandainya sebagai tidak aktif. Periode waktu ini ditetapkan secara otomatis dan tidak dapat dikonfigurasi. Ancaman yang Berkorelasi akan otomatis diselesaikan jika resource yang mendasarinya, seperti VM atau node Google Kubernetes Engine, dihapus.
Ancaman yang Berkorelasi memerlukan eksekusi aturan yang lebih sering daripada aturan grafik keamanan lainnya. Sistem memproses aturan ancaman setiap jam. Pendekatan ini terintegrasi dengan sumber deteksi Security Command Center yang ada.
Aturan Ancaman yang Berkorelasi
Ancaman yang Berkorelasi membantu mengidentifikasi berbagai pola serangan multi-tahap di seluruh resource cloud. Aturan Correlated Threats berikut tersedia:
Beberapa sinyal ancaman yang saling terkait dari software penambangan mata uang kripto: Aturan ini mencari beberapa sinyal berbeda dari software berbahaya yang berasal dari Google Cloud mesin virtual, termasuk VM Compute Engine dan node Google Kubernetes Engine (GKE) (dan Pod-nya).
Contohnya mencakup:
- Deteksi Ancaman VM mendeteksi program mata uang kripto dan Deteksi Ancaman Peristiwa mendeteksi koneksi ke alamat IP atau domain mata uang kripto dari VM yang sama.
- Container Threat Detection mendeteksi program yang menggunakan protokol stratum penambangan mata uang kripto dan Event Threat Detection mendeteksi koneksi ke alamat IP penambangan mata uang kripto dari node Google Kubernetes Engine yang sama.
Beberapa sinyal ancaman yang saling terkait dari software berbahaya: Aturan ini mencari beberapa sinyal berbeda dari software berbahaya yang berasal dariGoogle Cloud mesin virtual, termasuk VM Compute Engine dan node GKE (serta Pod-nya).
Contohnya mencakup:
- Container Threat Detection mendeteksi eksekusi biner berbahaya dan skrip Python berbahaya di Pod yang sama.
- Event Threat Detection mendeteksi koneksi ke alamat IP malware dan VM Threat Detection mendeteksi malware di disk pada VM yang sama.
Perpindahan lateral akun GCP yang berpotensi disusupi ke instance GCE yang disusupi: Aturan ini mencari bukti panggilan mencurigakan ke API Compute Engine yang mengubah VM (termasuk node GKE). Kemudian, aturan tersebut mengorelasikan aktivitas tersebut dengan aktivitas berbahaya yang berasal dari VM dalam jangka waktu singkat. Pola gerakan lateral umum ini digunakan oleh penyerang. Aturan ini mungkin menunjukkan bahwa VM telah disusupi. Aturan ini juga dapat menunjukkan bahwa akun Google Cloud tersebut (baik akun pengguna maupun akun layanan) mungkin menjadi penyebab aktivitas berbahaya.
Contohnya mencakup:
- Event Threat Detection mendeteksi bahwa pengguna menambahkan kunci SSH baru ke instance Compute Engine, dan VM Threat Detection mendeteksi penambang mata uang kripto yang berjalan di instance yang sama.
- Event Threat Detection mendeteksi bahwa akun layanan mengakses instance menggunakan Compute Engine API dari jaringan Tor, dan Event Threat Detection mendeteksi koneksi ke alamat IP berbahaya dari instance yang sama.
Menyelidiki Ancaman yang Berkorelasi
Ancaman yang Berkorelasi memandu Anda melalui proses investigasi terstruktur. Proses ini membantu Anda memahami dan merespons insiden keamanan secara efektif. Anda dapat menggunakan Indeks temuan ancaman untuk menemukan informasi lebih lanjut tentang temuan ancaman tertentu. Setiap halaman khusus temuan menjelaskan cara menyelidiki dan merespons ancaman.
Penerimaan
Anda menerima masalah Ancaman yang Berkorelasi melalui Security Command Center. Masalah ini menunjukkan bahwa sistem mendeteksi dan mengelompokkan beberapa temuan yang mencurigakan. Anda mengenali masalah ini sebagai prioritas tinggi, karena ditandai sebagai Ancaman aktif. Korelasi beberapa sinyal menunjukkan positif palsu yang memerlukan fokus segera. Untuk mengetahui informasi selengkapnya, lihat Mengelola dan memperbaiki masalah.
Dekonstruksi
Buka masalah untuk melihat bagian-bagiannya. Dalam tampilan detail masalah, Anda dapat meluaskan bagian untuk melihat temuan individual. Misalnya, jika skrip berbahaya berjalan di node GKE, lalu terhubung ke alamat IP berbahaya, kedua peristiwa tersebut akan muncul bersamaan. Periksa detail setiap temuan, seperti kapan terjadinya, proses apa yang terlibat, alamat IP berbahaya, dan asal deteksi. Informasi ini menunjukkan bahwa peristiwa tersebut berpotensi terkait dan menjelaskan detail teknis serangan. Tampilan kronologis menunjukkan urutan peristiwa. Sistem memetakan detail ini ke tahap rantai serangan MITRE ATT&CK dan menampilkannya pada visualisasi rantai serangan. Fitur ini memberi Anda konteks langsung tentang tahap serangan.
Identifikasi cakupan
Tentukan tingkat ancaman. Periksa informasi kontekstual tentang peristiwa yang berkorelasi, seperti aset yang terpengaruh dan konteks project atau cluster-nya. Platform mengorelasikan masalah menurut resource, menggunakan ID unik untuk mengaitkan peristiwa ke node yang sama. Bagian ini menampilkan aset yang terpengaruh. Verifikasi apakah aset lain menunjukkan tanda serupa. Catat identitas yang terlibat, seperti akun layanan atau pengguna yang menjalankan skrip berbahaya. Tampilan yang tercakup ini membantu Anda berfokus pada sistem yang terpengaruh dan mengonfirmasi apakah insiden bersifat lokal atau meluas.
Tindakan berikutnya
Sistem menandai masalah Ancaman yang Berkorelasi dengan tingkat keparahan kritis. Anda dapat menemukan tindakan yang disarankan di tampilan Cara memperbaiki. Tangani aset yang terpengaruh, misalnya, dengan mengisolasi atau menonaktifkan node GKE yang terpengaruh. Ikuti rekomendasi, seperti memblokir IP berbahaya yang diketahui di tingkat firewall atau VPC cloud. Tindakan yang direkomendasikan membantu Anda merespons lebih cepat, mengatasi insiden, dan memulai penyelidikan yang terfokus. Untuk mengetahui informasi selengkapnya tentang ancaman, lihat Cara menyelidiki ancaman.
Langkah berikutnya
- Ringkasan Container Threat Detection
- Ringkasan Event Threat Detection
- Ringkasan Virtual Machine Threat Detection
- Pelajari cara mengelola dan memperbaiki masalah