Panoramica delle minacce correlate

La funzionalità Minacce correlate in Security Command Center ti aiuta a scoprire le minacce attive critiche nel tuo ambiente. Minacce correlate genera un insieme di risultati di minacce correlate e fornisce spiegazioni approfondite su questi risultati, che puoi utilizzare per dare la priorità, comprendere e rispondere a queste minacce.

I team di sicurezza spesso soffrono di affaticamento da avvisi a causa della gestione di un numero eccessivo di risultati di minacce. Questa situazione può portare a risposte mancate o ritardate. Questi team richiedono rapidamente informazioni prioritarie e pertinenti per identificare l'attività post-exploit.

Minacce correlate aiuta a raggruppare più risultati di minacce correlate in un problema. Questo raggruppamento aiuta a fornire rilevamenti con maggiore affidabilità su cui puoi intervenire. Minacce correlate genera un problema, che rappresenta una serie di attività dannose correlate.

Questa funzionalità offre vari vantaggi:

Riduce l'affaticamento da avvisi consolidando numerosi risultati in problemi critici.
Migliora la fedeltà del rilevamento combinando più indicatori, contribuendo ad aumentare l'affidabilità del rilevamento di attività dannose.
Fornisce una visualizzazione della catena di attacco, che mostra come gli eventi si collegano per formare una storia di attacco completa. Questo approccio ti aiuta ad anticipare le mosse degli utenti malintenzionati e a identificare rapidamente gli asset compromessi.
Evidenzia le minacce critiche e fornisce consigli chiari, aiutandoti a dare la priorità e ad accelerare la risposta.

Come funziona Minacce correlate

La funzionalità Minacce correlate utilizza un motore di regole per identificare e raggruppare i risultati di sicurezza correlati.

Il motore di regole esegue query sul grafico di sicurezza con predefinite query Minacce correlate. Il motore traduce quindi i risultati di queste query in problemi. Security Command Center gestisce il ciclo di vita di questi problemi di minacce. Un problema rimane attivo per 14 giorni dopo il primo risultato di minaccia se non lo disattivi o lo contrassegni come inattivo. Questo periodo di tempo viene impostato automaticamente e non può essere configurato. Minacce correlate si risolve automaticamente se le risorse sottostanti, come le VM o i nodi Google Kubernetes Engine, vengono eliminate.

Minacce correlate richiede esecuzioni di regole più frequenti rispetto ad altre regole del grafico di sicurezza. Il sistema elabora le regole delle minacce ogni ora. Questo approccio si integra con le origini di rilevamento di Security Command Center esistenti.

Regole di Minacce correlate

Minacce correlate aiuta a identificare vari pattern di attacco multifase nelle risorse cloud. Sono disponibili le seguenti regole di Minacce correlate:

Più indicatori di minacce correlate di software di mining di criptovalute: Questa regola cerca più indicatori distinti di software dannoso provenienti da Google Cloud macchine virtuali, tra cui VM di Compute Engine e nodi Google Kubernetes Engine (GKE) (e i relativi pod).

Ecco alcuni esempi:
- VM Threat Detection rileva un programma di criptovalute ed Event Threat Detection rileva connessioni a indirizzi IP o domini di criptovalute dalla stessa VM.
- Container Threat Detection rileva un programma che utilizza il protocollo stratum di mining di criptovalute ed Event Threat Detection rileva una connessione a un indirizzo IP di mining di criptovalute dallo stesso nodo Google Kubernetes Engine.
Più indicatori di minacce correlate di software dannoso: questa regola cerca più indicatori distinti di software dannoso provenienti da Google Cloud macchine virtuali, tra cui VM di Compute Engine e nodi GKE (e i relativi pod).

Ecco alcuni esempi:
- Container Threat Detection rileva l'esecuzione di un file binario dannoso e di uno script Python dannoso nello stesso pod.
- Event Threat Detection rileva una connessione a un indirizzo IP di malware e VM Threat Detection rileva malware sul disco nella stessa VM.
Movimento laterale dell'account Google Cloud potenzialmente compromesso verso la risorsa di calcolo compromessa: questa regola cerca prove di chiamate sospette alle API di calcolo (Compute Engine o GKE) che modificano una VM o un pod. La regola correla quindi questa attività con attività dannose provenienti dalla risorsa di calcolo in un breve periodo di tempo. Gli utenti malintenzionati utilizzano comunemente questo pattern di movimento laterale. Questa regola indica che la VM o il pod è probabilmente compromesso. Questa regola indica anche che l' Google Cloud account (utente o account di servizio) potrebbe essere la causa dell'attività dannosa.

Ecco alcuni esempi:
- Event Threat Detection rileva che un utente ha aggiunto una nuova chiave SSH a un'istanza di Compute Engine e VM Threat Detection rileva un miner di criptovalute in esecuzione sulla stessa istanza.
- Event Threat Detection rileva che un account di servizio ha eseguito l'accesso a un'istanza utilizzando l'API Compute Engine dalla rete Tor ed Event Threat Detection rileva connessioni a un indirizzo IP dannoso dalla stessa istanza.
- Event Threat Detection rileva che un utente ha creato un container con privilegi e Container Threat Detection rileva che il container ha eseguito l'accesso a file sensibili sul nodo GKE dallo stesso pod.

Analizzare le minacce correlate

Minacce correlate ti guida attraverso una procedura di indagine strutturata. Questa procedura ti aiuta a comprendere e rispondere in modo efficace agli incidenti di sicurezza. Puoi utilizzare l'indice dei risultati di minacce per trovare ulteriori informazioni su un risultato di minaccia specifico. Ogni pagina specifica per i risultati descrive come analizzare e rispondere alla minaccia.

Reception

Ricevi un problema di Minacce correlate tramite Security Command Center. Questo problema indica che il sistema ha rilevato e raggruppato più risultati sospetti. Riconosci questo problema come di alta priorità, perché è contrassegnato come Minaccia attiva. La correlazione di più indicatori indica un vero positivo che richiede un'attenzione immediata. Per saperne di più, consulta Gestisci e risolvi i problemi.

Decomposizione

Apri il problema per visualizzarne le parti. Nella visualizzazione dei dettagli del problema, puoi espandere una sezione per visualizzare i singoli risultati. Ad esempio, se uno script dannoso viene eseguito su un nodo GKE e poi si connette a un indirizzo IP dannoso, entrambi gli eventi vengono visualizzati insieme. Controlla i dettagli di ogni risultato, ad esempio quando si è verificato, quali processi sono stati coinvolti, gli indirizzi IP dannosi e da dove proviene il rilevamento. Queste informazioni indicano che gli eventi sono potenzialmente correlati e spiegano i dettagli tecnici dell'attacco. Una visualizzazione cronologica mostra la sequenza degli eventi. Il sistema mappa questi dettagli alle fasi della catena di attacco MITRE ATT&CK e li presenta in una visualizzazione della catena di attacco. Questa funzionalità ti fornisce un contesto immediato sulla fase di attacco.

Identificazione dell'ambito

Determina l'entità della minaccia. Controlla le informazioni contestuali sugli eventi correlati, come l'asset interessato e il relativo progetto o contesto del cluster. La piattaforma correla i problemi per risorsa, utilizzando identificatori univoci per collegare gli eventi allo stesso nodo. Viene visualizzato l'asset interessato. Verifica se altri asset mostrano segni simili. Prendi nota delle identità coinvolte, ad esempio il service account o l'utente che ha eseguito lo script dannoso. Questa visualizzazione mirata ti aiuta a concentrarti sui sistemi interessati e a verificare se l'incidente è localizzato o diffuso.

Azioni successive

Il sistema contrassegna i problemi di Minacce correlate con una gravità critica. Puoi trovare le azioni consigliate nelle visualizzazioni Come risolvere. Contieni l'asset interessato, ad esempio isolando o arrestando il nodo GKE interessato. Segui i consigli, ad esempio blocca l'indirizzo IP dannoso noto a livello di firewall o VPC cloud. Le azioni consigliate ti aiutano a rispondere più rapidamente, a contenere l'incidente e ad avviare un'indagine mirata. Per saperne di più sull'analisi delle minacce, consulta Come analizzare le minacce.