Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica delle minacce correlate

La funzionalità Minacce correlate in Security Command Center ti aiuta a scoprire minacce attive critiche nel tuo ambiente. L'output Minacce correlate è un insieme di risultati relativi alle minacce e fornisce spiegazioni dettagliate su questi risultati, che puoi utilizzare per dare la priorità, comprendere e rispondere a queste minacce.

I team di sicurezza spesso sono sopraffatti dalla gestione di un numero elevato di risultati di minacce. Questa situazione può comportare risposte mancate o ritardate. Questi team richiedono rapidamente informazioni pertinenti e con priorità per identificare l'attività post-exploit.

Le minacce correlate aiutano a raggruppare più risultati di minacce correlate in un problema. Questa aggregazione contribuisce a fornire rilevamenti più affidabili su cui puoi intervenire. Minacce correlate genera un problema, che rappresenta una serie di attività dannose correlate.

Questa funzionalità offre vari vantaggi:

Riduce l'affaticamento da avvisi consolidando numerosi risultati in problemi critici.
Migliora la fedeltà del rilevamento combinando più indicatori, contribuendo ad aumentare l'affidabilità del rilevamento di attività dannose.
Fornisce una visualizzazione della catena di attacchi, mostrando come gli eventi si collegano per contribuire a formare una storia completa dell'attacco. Questo approccio ti aiuta ad anticipare le mosse degli avversari e a identificare rapidamente gli asset compromessi.
Evidenzia le minacce critiche e fornisce consigli chiari, aiutandoti a dare la priorità e accelerare la risposta.

Come funziona Correlated Threats

La funzionalità Minacce correlate utilizza un motore di regole per identificare e raggruppare i risultati di sicurezza correlati.

Il motore delle regole esegue query sul grafico di sicurezza con query predefinite sulle minacce correlate. Il motore poi traduce i risultati della query in problemi. Security Command Center gestisce il ciclo di vita di questi problemi relativi alle minacce. Un problema rimane attivo per 14 giorni dopo il primo rilevamento della minaccia se non lo disattivi o lo contrassegni come inattivo. Questo periodo di tempo viene impostato automaticamente e non può essere configurato. Le minacce correlate vengono risolte automaticamente se le risorse sottostanti, come VM o nodi Google Kubernetes Engine, vengono eliminate.

Le minacce correlate richiedono esecuzioni delle regole più frequenti rispetto ad altre regole del grafico di sicurezza. Il sistema elabora le regole di minaccia ogni ora. Questo approccio si integra con le origini di rilevamento di Security Command Center esistenti.

Regole relative alle minacce correlate

Le minacce correlate aiutano a identificare vari pattern di attacco in più fasi nelle risorse cloud. Sono disponibili le seguenti regole relative alle minacce correlate:

Più indicatori di minaccia correlati di software di mining di criptovalute: Questa regola cerca più indicatori distinti di software dannoso provenienti da Google Cloud macchine virtuali, tra cui VM Compute Engine e nodi Google Kubernetes Engine (GKE) (e i relativi pod).

Alcuni esempi sono:
- VM Threat Detection rileva un programma di criptovalute e Event Threat Detection rileva le connessioni a indirizzi IP o domini di criptovalute dalla stessa VM.
- Container Threat Detection rileva un programma che utilizza il protocollo stratum di mining di criptovalute ed Event Threat Detection rileva una connessione a un indirizzo IP di mining di criptovalute dallo stesso nodo Google Kubernetes Engine.
Più indicatori di minaccia correlati di software dannoso: questa regola cerca più indicatori distinti di software dannoso provenienti da macchine virtualiGoogle Cloud , tra cui VM di Compute Engine e nodi GKE (e i relativi pod).

Alcuni esempi sono:
- Container Threat Detection rileva l'esecuzione di un binario dannoso e di uno script Python dannoso nello stesso pod.
- Event Threat Detection rileva una connessione a un indirizzo IP malware e VM Threat Detection rileva malware sul disco nella stessa VM.
Movimento laterale dell'account Google Cloud potenzialmente compromesso all'istanza GCE compromessa: questa regola cerca prove di chiamate sospette alle API Compute Engine che modificano una VM (inclusi i nodi GKE). La regola correla quindi questa attività con l'attività dannosa che ha origine dalla VM in un breve periodo. Questo pattern comune di movimento laterale viene utilizzato dagli autori degli attacchi. Questa regola potrebbe indicare che la VM è compromessa. Questa regola potrebbe anche indicare che l'account Google Cloud(utente o di account di servizio) potrebbe essere la causa dell'attività dannosa.

Alcuni esempi sono:
- Event Threat Detection rileva che un utente ha aggiunto una nuova chiave SSH a un'istanza Compute Engine e VM Threat Detection rileva un miner di criptovalute in esecuzione sulla stessa istanza.
- Event Threat Detection rileva che un account di servizio ha eseguito l'accesso a un'istanza utilizzando l'API Compute Engine dalla rete Tor ed Event Threat Detection rileva connessioni a un indirizzo IP dannoso dalla stessa istanza.

Esaminare le minacce correlate

Le minacce correlate ti guidano attraverso una procedura di indagine strutturata. Questo processo ti aiuta a comprendere e rispondere in modo efficace agli incidenti di sicurezza. Puoi utilizzare l'indice dei risultati relativi alle minacce per trovare ulteriori informazioni su un risultato specifico relativo alle minacce. Ogni pagina specifica per i risultati descrive come esaminare e rispondere alla minaccia.

Reception

Ricevi un problema di minacce correlate tramite Security Command Center. Questo problema indica che il sistema ha rilevato e raggruppato più risultati sospetti. Riconosci questo problema come di alta priorità perché è contrassegnato come Minaccia attiva. La correlazione di più indicatori indica un vero positivo che richiede un'attenzione immediata. Per saperne di più, vedi Gestire e risolvere i problemi.

Decostruzione

Apri il problema per visualizzarne le parti. Nella visualizzazione dei dettagli del problema, puoi espandere una sezione per visualizzare i singoli risultati. Ad esempio, se uno script dannoso viene eseguito su un nodo GKE e poi si connette a un indirizzo IP dannoso, entrambi gli eventi vengono visualizzati insieme. Controlla i dettagli di ogni risultato, ad esempio quando si è verificato, i processi coinvolti, gli indirizzi IP dannosi e la provenienza del rilevamento. Queste informazioni indicano che gli eventi sono potenzialmente correlati e spiegano i dettagli tecnici dell'attacco. Una visualizzazione cronologica mostra la sequenza degli eventi. Il sistema mappa questi dettagli nelle fasi della catena di attacco MITRE ATT&CK e li presenta in una visualizzazione della catena di attacco. Questa funzionalità fornisce un contesto immediato sulla fase dell'attacco.

Identificazione dell'ambito

Determina l'entità della minaccia. Controlla le informazioni contestuali sugli eventi correlati, ad esempio l'asset interessato e il contesto del progetto o del cluster. La piattaforma correla i problemi per risorsa, utilizzando identificatori unici per collegare gli eventi allo stesso nodo. Mostra l'asset interessato. Verifica se altri asset mostrano segni simili. Prendi nota delle identità coinvolte, ad esempio il service account o l'utente che ha eseguito lo script dannoso. Questa visualizzazione con ambito ti aiuta a concentrarti sui sistemi interessati e conferma se l'incidente è localizzato o diffuso.

Azioni successive

Il sistema contrassegna i problemi di minaccia correlata con una gravità critica. Puoi trovare le azioni consigliate nelle visualizzazioni Come risolvere il problema. Contieni l'asset interessato, ad esempio isolando o arrestando il nodo GKE interessato. Segui i consigli, ad esempio blocca l'IP dannoso noto a livello di firewall o VPC cloud. Le azioni consigliate ti aiutano a rispondere più rapidamente, contenere l'incidente e avviare un'indagine mirata. Per saperne di più sulle minacce, consulta la sezione Come analizzare le minacce.