Security Command Center の関連する脅威機能を使用すると、環境内の重大なアクティブな脅威を特定できます。関連する脅威の検出結果のセットが出力され、これらの検出結果に関する詳細な説明が提供されます。この説明を使用して、これらの脅威の優先順位付け、理解、対応を行うことができます。
セキュリティ チームは、膨大な数の脅威検出の管理に疲弊することがよくあります。この状況では、回答が遅れたり、回答が届かなかったりする可能性があります。これらのチームは、エクスプロイト後のアクティビティを特定するために、優先順位付けされた関連情報を迅速に必要としています。
関連する複数の脅威の検出結果を 1 つの問題に集約することで、関連する脅威を特定できます。この集約により、対応可能な検出の信頼性が高まります。相関関係のある脅威は、関連する一連の悪意のあるアクティビティを表す問題を生成します。
この機能には次のようなメリットがあります。
- 多数の検出結果を重大な問題に統合することで、アラート疲れを軽減します。
- 複数のシグナルを組み合わせて検出の忠実度を高め、悪意のあるアクティビティの検出の信頼性を高めます。
- 攻撃チェーンを可視化し、イベントがどのように関連して攻撃の全体像を形成しているかを示します。このアプローチにより、攻撃者の動きを予測し、侵害されたアセットを迅速に特定できます。
- 重大な脅威をハイライト表示し、明確な推奨事項を提供することで、対応の優先順位付けと迅速化を支援します。
関連する脅威の仕組み
関連する脅威機能は、ルールエンジンを使用して関連するセキュリティ検出結果を特定し、グループ化します。
ルールエンジンは、事前定義された関連する脅威のクエリを使用してセキュリティ グラフをクエリします。エンジンは、これらのクエリ結果を問題に変換します。Security Command Center は、これらの脅威の問題のライフサイクルを管理します。最初の脅威の検出結果から 14 日間、問題はアクティブなままになります。ミュートするか、非アクティブとしてマークしない限り、問題はアクティブなままになります。この期間は自動的に設定され、構成することはできません。VM や Google Kubernetes Engine ノードなどの基盤となるリソースが削除されると、関連する脅威は自動的に解決されます。
相関関係のある脅威では、他のセキュリティ グラフ ルールよりも頻繁にルールを実行する必要があります。システムは脅威ルールを 1 時間ごとに処理します。このアプローチは、既存の Security Command Center 検出ソースと統合されます。
相関する脅威ルール
相関関係のある脅威は、クラウド リソース全体でさまざまな多段階攻撃パターンを特定するのに役立ちます。次の相関脅威ルールを使用できます。
暗号通貨マイニング ソフトウェアの複数の関連する脅威シグナル: このルールは、Compute Engine VM や Google Kubernetes Engine(GKE)ノード(およびその Pod)など、 Google Cloud 仮想マシンから発信される悪意のあるソフトウェアの複数の異なるシグナルを探します。
以下に例を示します。
- VM Threat Detection は暗号通貨プログラムを検出し、Event Threat Detection は同じ VM から暗号通貨 IP アドレスまたはドメインへの接続を検出します。
- Container Threat Detection は、暗号通貨マイニングの stratum プロトコルを使用しているプログラムを検出し、Event Threat Detection は、同じ Google Kubernetes Engine ノードからの暗号通貨マイニング IP アドレスへの接続を検出します。
悪意のあるソフトウェアの複数の関連する脅威シグナル: このルールは、Compute Engine VM や GKE ノード(およびその Pod)など、Google Cloud 仮想マシンから発信される悪意のあるソフトウェアの複数の異なるシグナルを探します。
以下に例を示します。
- Container Threat Detection は、同じ Pod で悪意のあるバイナリと悪意のある Python スクリプトの両方の実行を検出します。
- Event Threat Detection はマルウェアの IP アドレスへの接続を検出し、VM Threat Detection は同じ VM のディスク上のマルウェアを検出します。
侵害された可能性のある GCP アカウントから侵害された GCE インスタンスへのラテラル ムーブメント: このルールは、VM(GKE ノードを含む)を変更する Compute Engine API への不審な呼び出しの証拠を探します。このルールは、そのアクティビティと、短期間内に VM から発生した悪意のあるアクティビティを関連付けます。この一般的な横方向の移動パターンは、攻撃者が使用します。このルールは、VM が侵害されていることを示す可能性があります。このルールは、 Google Cloudアカウント(ユーザー アカウントまたはサービス アカウント)が悪意のあるアクティビティの原因である可能性も示しています。
以下に例を示します。
- Event Threat Detection は、ユーザーが Compute Engine インスタンスに新しい SSH 認証鍵を追加したことを検出し、VM Threat Detection は、同じインスタンスで実行されている暗号通貨マイナーを検出します。
- Event Threat Detection は、サービス アカウントが Tor ネットワークから Compute Engine API を使用してインスタンスにアクセスしたことを検出し、同じインスタンスから悪意のある IP アドレスへの接続を検出します。
相関関係のある脅威を調査する
相関する脅威は、構造化された調査プロセスをガイドします。このプロセスは、セキュリティ インシデントを効果的に理解し、対応するのに役立ちます。脅威の検出結果インデックスを使用すると、特定の脅威の検出結果に関する詳細情報を確認できます。検出結果固有の各ページには、脅威の調査と対応の方法が記載されています。
レセプション
Security Command Center から関連する脅威の問題が届きます。この問題は、システムが複数の不審な検出結果を検出してグループ化したことを示します。この問題はアクティブな脅威としてマークされているため、優先度が高いと認識されます。複数のシグナルの相関関係は、直ちに注目すべき真陽性を示します。詳細については、問題の管理と修復をご覧ください。
解体
問題を開いて、そのパーツを確認します。問題の詳細ビューで、セクションを開くと個々の検出結果が表示されます。たとえば、有害なスクリプトが GKE ノードで実行され、悪意のある IP アドレスに接続すると、両方のイベントが同時に表示されます。検出された日時、関連するプロセス、悪意のある IP アドレス、検出元など、各検出結果の詳細を確認します。この情報は、イベントが関連している可能性を示し、攻撃の技術的な詳細を説明します。時系列ビューには、イベントのシーケンスが表示されます。システムは、これらの詳細を MITRE ATT&CK 攻撃チェーンのステージにマッピングし、攻撃チェーンの可視化に表示します。この機能により、攻撃ステージのコンテキストをすぐに把握できます。
スコープの特定
脅威の範囲を特定します。関連付けられたイベントのコンテキスト情報(影響を受けるアセットとそのプロジェクトまたはクラスタのコンテキストなど)を確認します。プラットフォームは、一意の識別子を使用してイベントを同じノードに関連付け、リソースごとに問題を関連付けます。影響を受けるアセットが表示されます。他のアセットでも同様の兆候が見られるかどうかを確認します。悪意のあるスクリプトを実行したサービス アカウントやユーザーなど、関連する ID をメモします。このスコープ ビューを使用すると、影響を受けるシステムに焦点を当て、インシデントが局所的か広範囲に及ぶかを確認できます。
次のアクション
システムは、関連する脅威の問題を重大度「重大」としてマークします。推奨される対応は、[修正方法] ビューで確認できます。影響を受けたアセットを封じ込めます。たとえば、影響を受けた GKE ノードを分離またはシャットダウンします。ファイアウォールまたはクラウド VPC レベルで既知の悪意のある IP をブロックするなど、推奨事項に従います。推奨されるアクションは、迅速な対応、インシデントの封じ込め、集中的な調査の開始に役立ちます。脅威の詳細については、脅威を調査する方法をご覧ください。
次のステップ
- Container Threat Detection の概要
- Event Threat Detection の概要
- Virtual Machine Threat Detection の概要
- 問題の管理と修復方法を確認する