Correlated Threats の概要

Security Command Center の Correlated Threats 機能は、環境内の重大なアクティブな脅威の特定に役立ちます。Correlated Threats によりの関連する脅威の検出結果のセットが出力され、これらの検出結果に関する詳細な説明が提供されます。この説明を使用して、これらの脅威の優先順位付け、理解、対応を行うことができます。

セキュリティ チームは、膨大な数の脅威検出の管理によりアラート疲れを経験することがよくあります。この状況では、対応の漏れや遅れが発生する可能性があります。これらのチームは、ポストエクスプロイト アクティビティを特定するために、優先順位付けされた関連情報を迅速に必要としています。

Correlated Threats を利用すると、複数の関連する脅威の検出結果を 1 つの問題に集約できます。この集約により、対応可能な信頼性の高い検出結果が得られます。Correlated Threats は、一連の関連する悪意のあるアクティビティを表す問題を生成します。

この機能には次のようなメリットがあります。

  • 多数の検出結果を重大な問題に統合することで、アラート疲れを軽減する。
  • 複数のシグナルを組み合わせて検出の忠実度を高め、悪意のあるアクティビティの検出の信頼性を高める。
  • 攻撃チェーンを可視化し、イベントがどのように関連して攻撃の全体像を形成しているかを示す。このアプローチにより、攻撃者の動きを予測し、侵害されたアセットを迅速に特定できます。
  • 重大な脅威をハイライト表示し、明確な推奨事項を提供することで、対応の優先順位付けと迅速化を支援します。

Correlated Threats の仕組み

Correlated Threats 機能は、ルールエンジンを使用して関連するセキュリティ検出結果を特定し、グループ化します。

ルールエンジンは、Correlated Threats の事前定義済みクエリを使用してセキュリティ グラフをクエリします。エンジンは、これらのクエリ結果を問題に変換します。Security Command Center は、これらの脅威の問題のライフサイクルを管理します。ミュートしていないか、非アクティブとしてマークしていない場合、問題は最初の脅威の検出から 14 日間アクティブなままになります。この期間は自動的に設定され、構成することはできません。Correlated Threats は、基盤となるリソース(VM や Google Kubernetes Engine ノードなど)が削除されると自動的に解決されます。

Correlated Threats では、他のセキュリティ グラフ ルールよりも頻繁にルールを実行する必要があります。システムは脅威ルールを 1 時間ごとに処理します。このアプローチは、既存の Security Command Center の検出ソースと統合されます。

Correlated Threats のルール

Correlated Threats は、クラウド リソース全体でのさまざまな多段階攻撃パターンの特定に役立ちます。次の Correlated Threats のルールを使用できます。

  • 暗号通貨マイニング ソフトウェアの複数の相関性のある脅威シグナル: このルールは、Compute Engine VM や Google Kubernetes Engine(GKE)ノード(およびその Pod)など、 Google Cloud 仮想マシンから発信される悪意のあるソフトウェアの複数の異なるシグナルを探します。

    以下に例を示します。

    • VM Threat Detection は、暗号通貨プログラムを検出し、Event Threat Detection は同じ VM から暗号通貨 IP アドレスまたはドメインへの接続を検出します。
    • Container Threat Detection は、暗号通貨マイニングの Stratum プロトコルを使用しているプログラムを検出し、Event Threat Detection は、同じ Google Kubernetes Engine ノードからの暗号通貨マイニング IP アドレスへの接続を検出します。

  • 悪意のあるソフトウェアの複数の相関性のある脅威シグナル: このルールは、Compute Engine VM や GKE ノード(およびその Pod)など、Google Cloud 仮想マシンから発信される悪意のあるソフトウェアの複数の異なるシグナルを探します。

    以下に例を示します。

    • Container Threat Detection は、同じ Pod で悪意のあるバイナリと悪意のある Python スクリプトの両方の実行を検出します。
    • Event Threat Detection はマルウェアの IP アドレスへの接続を検出し、VM Threat Detection は同じ VM のディスク上のマルウェアを検出します。

  • 侵害された可能性のある GCP アカウントから侵害されたコンピューティング リソースへのラテラル ムーブメント: このルールは、VM または Pod を変更するコンピューティング API(Compute Engine または GKE)への不審な呼び出しの証拠を探します。このルールは、そのアクティビティを、短期間内にコンピューティング リソースから発生した悪意のあるアクティビティと相互に関連付けます。攻撃者はこのラテラル ムーブメント パターンをよく使用します。このルールは、VM または Pod が不正使用されている可能性が高いことを示します。このルールは、Google Cloud アカウント(ユーザー アカウントまたはサービス アカウント)が悪意のあるアクティビティの原因である可能性も示しています。

    以下に例を示します。

    • Event Threat Detection は、ユーザーが Compute Engine インスタンスに新しい SSH 認証鍵を追加したことを検出し、VM Threat Detection は、同じインスタンスで実行されている暗号通貨マイナーを検出します。
    • Event Threat Detection は、サービス アカウントが Tor ネットワークから Compute Engine API を使用してインスタンスにアクセスしたことを検出し、同じインスタンスから悪意のある IP アドレスへの接続を検出します。
    • Event Threat Detection は、ユーザーが特権コンテナを作成したことを検出し、Container Threat Detection は、同じ Pod から GKE ノード上の機密ファイルにコンテナがアクセスしたことを検出します。

Correlated Threats を調査する

Correlated Threats は、構造化された調査プロセスをガイドします。このプロセスは、セキュリティ インシデントについての効果的な理解と対応に役立ちます。脅威の検出結果インデックスを使用すると、特定の脅威の検出結果に関する詳細情報を確認できます。検出結果固有の各ページには、脅威の調査と対応の方法が記載されています。

レセプション

Security Command Center を介して Correlated Threats の問題を受け取ります。この問題は、システムが複数の不審な検出結果を検出してグループ化したことを示します。この問題はアクティブな脅威としてマークされているため、優先度が高いと認識できます。複数のシグナルの相関関係は、直ちに注目すべき真陽性を示します。詳細については、問題を管理して修復するをご覧ください。

分解

問題を開いて、そのパーツを確認します。問題の詳細ビューで、セクションを開いて個々の検出結果を表示できます。たとえば、有害なスクリプトが GKE ノードで実行され、悪意のある IP アドレスに接続すると、両方のイベントが同時に表示されます。検出された日時、関連するプロセス、悪意のある IP アドレス、検出元など、各検出結果の詳細を確認します。この情報は、イベントが関連している可能性を示し、攻撃の技術的な詳細を説明します。時系列ビューには、イベントのシーケンスが表示されます。システムは、これらの詳細を MITRE ATT&CK 攻撃チェーンのステージにマッピングし、攻撃チェーンの可視化で表示します。この機能により、攻撃ステージのコンテキストをすぐに把握できます。

スコープの特定

脅威の範囲を特定します。相関性のあるイベントに関するコンテキスト情報(影響を受けるアセットとそのプロジェクトまたはクラスタのコンテキストなど)を確認します。このプラットフォームは、一意の識別子を使用してイベントを同じノードに関連付け、リソースごとに問題を相互に関連付けます。影響を受けるアセットが表示されます。他のアセットにも同様の兆候が見られるかどうかを確認します。悪意のあるスクリプトを実行したサービス アカウントやユーザーなど、関連する ID をメモします。このスコープビューを使用すると、影響を受けるシステムに焦点を当て、インシデントがローカルで発生しているか、広範囲に及んでいるかを確認できます。

次の対策

システムは、Correlated Threats の問題を重大度「重大」としてマークします。推奨される対応は、[修正方法] ビューで確認できます。影響を受けたアセットを封じ込めます。たとえば、影響を受けた GKE ノードを分離またはシャットダウンします。ファイアウォールまたはクラウド VPC レベルで既知の悪意のある IP をブロックするなど、推奨事項に従います。推奨される対応は、迅速な対応、インシデントの封じ込め、集中的な調査の開始に役立ちます。脅威の詳細については、脅威を調査する方法をご覧ください。

次のステップ