Esta página foi traduzida pela API Cloud Translation.

Vista geral das ameaças correlacionadas

A funcionalidade Ameaças correlacionadas no Security Command Center ajuda a descobrir ameaças ativas críticas no seu ambiente. O Correlated Threats gera um conjunto de resultados de ameaças relacionadas e fornece explicações detalhadas sobre estes resultados, que pode usar para priorizar, compreender e responder a estas ameaças.

As equipas de segurança sofrem frequentemente de fadiga de alertas devido à gestão de um número excessivo de resultados de ameaças. Esta situação pode levar a respostas perdidas ou atrasadas. Estas equipas precisam de informações relevantes e prioritárias rapidamente para identificar a atividade pós-exploração.

As ameaças correlacionadas ajudam a agregar várias conclusões de ameaças relacionadas num problema. Esta agregação ajuda a fornecer deteções mais fiáveis sobre as quais pode agir. As ameaças correlacionadas geram um problema que representa uma série de atividades maliciosas relacionadas.

Esta funcionalidade oferece várias vantagens:

Reduz a fadiga de alertas consolidando várias descobertas em problemas críticos.
Melhora a fidelidade da deteção combinando vários sinais, o que ajuda a aumentar a confiança na deteção de atividade maliciosa.
Oferece uma visualização da cadeia de ataque, mostrando como os eventos se relacionam para ajudar a formar uma história de ataque completa. Esta abordagem ajuda a antecipar os movimentos dos adversários e a identificar rapidamente os recursos comprometidos.
Realça as ameaças críticas e fornece recomendações claras, o que ajuda a priorizar e acelerar a sua resposta.

Como funcionam as ameaças correlacionadas

A funcionalidade Ameaças correlacionadas usa um motor de regras para identificar e agrupar conclusões de segurança relacionadas.

O motor de regras consulta o gráfico de segurança com consultas de ameaças correlacionadas predefinidas. Em seguida, o motor traduz estes resultados da consulta em problemas. O Security Command Center gere o ciclo de vida destes problemas de ameaças. Um problema permanece ativo durante 14 dias após a primeira deteção de ameaças se não o desativar ou marcar como inativo. Este período é definido automaticamente e não pode ser configurado. As ameaças correlacionadas são resolvidas automaticamente se os recursos subjacentes, como VMs ou nós do Google Kubernetes Engine, forem eliminados.

As ameaças correlacionadas requerem execuções de regras mais frequentes do que outras regras do gráfico de segurança. O sistema processa as regras de ameaças de hora a hora. Esta abordagem integra-se com as origens de deteção do Security Command Center existentes.

Regras de ameaças correlacionadas

As ameaças correlacionadas ajudam a identificar vários padrões de ataques de várias fases em recursos da nuvem. Estão disponíveis as seguintes regras de ameaças correlacionadas:

Vários sinais de ameaças correlacionados de software de mineração de criptomoedas: esta regra procura vários sinais distintos de software malicioso provenientes de Google Cloud máquinas virtuais, incluindo VMs do Compute Engine e nós do Google Kubernetes Engine (GKE) (e os respetivos pods).

Os exemplos incluem o seguinte:
- A Deteção de ameaças de VMs deteta um programa de criptomoeda e a Deteção de ameaças de eventos deteta ligações a endereços IP de criptomoedas ou domínios a partir da mesma VM.
- A Deteção de ameaças de contentores deteta um programa que está a usar o protocolo stratum de mineração de criptomoedas e a Deteção de ameaças de eventos deteta uma ligação a um endereço IP de mineração de criptomoedas a partir do mesmo nó do Google Kubernetes Engine.
Vários sinais de ameaças correlacionados de software malicioso: esta regra procura vários sinais distintos de software malicioso provenientes deGoogle Cloud máquinas virtuais, incluindo VMs do Compute Engine e nós do GKE (e os respetivos pods).

Os exemplos incluem o seguinte:
- A Deteção de ameaças de contentores deteta a execução de um ficheiro binário malicioso e de um script Python malicioso no mesmo pod.
- A Deteção de ameaças de eventos deteta uma ligação a um endereço IP de software malicioso e a Deteção de ameaças de VMs deteta software malicioso no disco na mesma VM.
Movimento lateral da conta do GCP potencialmente comprometida para a instância do GCE comprometida: esta regra procura provas de chamadas suspeitas para APIs do Compute Engine que modificam uma VM (incluindo nós do GKE). Em seguida, a regra correlaciona essa atividade com atividade maliciosa que tem origem na MV num curto período. Este padrão de movimento lateral comum é usado por atacantes. Esta regra pode indicar que a VM está comprometida. Esta regra também pode indicar que a conta (de utilizador ou de serviço) pode ser a causa da atividade maliciosa. Google Cloud

Os exemplos incluem o seguinte:
- A Deteção de ameaças de eventos deteta que um utilizador adicionou uma nova chave SSH a uma instância do Compute Engine e a Deteção de ameaças de VMs deteta um minerador de criptomoeda em execução na mesma instância.
- A Deteção de ameaças de eventos deteta que uma conta de serviço acedeu a uma instância através da API Compute Engine a partir da rede Tor e a Deteção de ameaças de eventos deteta ligações a um endereço IP malicioso a partir da mesma instância.

Investigue ameaças correlacionadas

As ameaças correlacionadas oferecem-lhe orientações ao longo de um processo de investigação estruturado. Este processo ajuda a compreender e responder a incidentes de segurança de forma eficaz. Pode usar o Índice de resultados de ameaças para encontrar mais informações sobre um resultado de ameaça específico. Cada página específica de uma descoberta descreve como investigar e responder à ameaça.

Receção

Recebe um problema de ameaças correlacionadas através do Security Command Center. Este problema indica que o sistema detetou e agrupou várias conclusões suspeitas. Reconhece este problema como de alta prioridade, porque está marcado como uma ameaça ativa. A correlação de vários sinais indica um verdadeiro positivo que requer atenção imediata. Para mais informações, consulte o artigo Faça a gestão e corrija problemas.

Desconstrução

Abra o problema para ver as respetivas partes. Na vista de detalhes do problema, pode expandir uma secção para ver as conclusões individuais. Por exemplo, se um script prejudicial for executado num nó do GKE e, em seguida, se ligar a um endereço IP malicioso, ambos os eventos aparecem em conjunto. Verifique os detalhes de cada descoberta, como quando ocorreu, que processos estiveram envolvidos, os endereços IP maliciosos e de onde veio a deteção. Estas informações indicam que os eventos estão potencialmente relacionados e explicam os detalhes técnicos do ataque. Uma vista cronológica mostra a sequência de eventos. O sistema mapeia estes detalhes para as fases da cadeia de ataque do MITRE ATT&CK e apresenta-os numa visualização da cadeia de ataque. Esta funcionalidade dá-lhe contexto imediato sobre a fase do ataque.

Identificação do âmbito

Determine a extensão da ameaça. Verifique as informações contextuais sobre os eventos correlacionados, como o recurso afetado e o respetivo contexto de projeto ou cluster. A plataforma correlaciona problemas por recurso, usando identificadores únicos para associar eventos ao mesmo nó. Isto mostra o recurso afetado. Verifique se outros recursos apresentam sinais semelhantes. Tenha em atenção as identidades envolvidas, como a conta de serviço ou o utilizador que executou o script malicioso. Esta vista com âmbito ajuda a focar-se nos sistemas afetados e confirma se o incidente é localizado ou generalizado.

Ações seguintes

O sistema marca os problemas de ameaças correlacionadas com uma gravidade crítica. Pode encontrar ações recomendadas nas vistas Como corrigir. Contenha o recurso afetado, por exemplo, isolando ou encerrando o nó do GKE afetado. Siga as recomendações, como bloquear o IP malicioso conhecido ao nível da firewall ou da VPC na nuvem. As ações recomendadas ajudam a responder mais rapidamente, a conter o incidente e a iniciar uma investigação focada. Para mais informações sobre ameaças, consulte o artigo Como investigar ameaças.