O recurso de ameaças correlacionadas no Security Command Center ajuda a descobrir ameaças ativas críticas no seu ambiente. As ameaças correlacionadas geram um conjunto de descobertas de ameaças relacionadas e oferecem explicações detalhadas sobre elas, que podem ser usadas para priorizar, entender e responder a essas ameaças.
As equipes de segurança geralmente sofrem com a fadiga de alertas ao gerenciar um número excessivo de descobertas de ameaças. Essa situação pode levar a respostas perdidas ou atrasadas. Essas equipes precisam de informações relevantes e priorizadas rapidamente para identificar atividades pós-exploração.
As ameaças correlacionadas ajudam agregando várias descobertas de ameaças relacionadas em um problema. Essa agregação ajuda a fornecer detecções mais confiáveis para que você possa agir. O Correlated Threats gera um problema, que representa uma série de atividades maliciosas relacionadas.
Esse recurso oferece vários benefícios:
- Reduz a fadiga de alertas ao consolidar várias descobertas em problemas críticos.
- Aumenta a fidelidade da detecção combinando vários indicadores, o que ajuda a aumentar a confiança na detecção de atividades maliciosas.
- Mostra uma visualização da cadeia de ataque, mostrando como os eventos se conectam para ajudar a formar uma história completa de ataque. Essa abordagem ajuda a antecipar os movimentos do adversário e identificar rapidamente os recursos comprometidos.
- Destaca ameaças críticas e oferece recomendações claras, ajudando você a priorizar e acelerar sua resposta.
Como as ameaças correlacionadas funcionam
O recurso "Ameaças correlacionadas" usa um mecanismo de regras para identificar e agrupar descobertas de segurança relacionadas.
O mecanismo de regras consulta o gráfico de segurança com consultas de ameaças correlacionadas predefinidas. Em seguida, o mecanismo traduz esses resultados em problemas. O Security Command Center gerencia o ciclo de vida desses problemas de ameaças. Um problema permanece ativo por 14 dias após a primeira descoberta de ameaça se você não silenciar ou marcar como inativo. Esse período é definido automaticamente e não pode ser configurado. As ameaças correlacionadas são resolvidas automaticamente se os recursos subjacentes, como VMs ou nós do Google Kubernetes Engine, forem excluídos.
As ameaças correlacionadas exigem execuções de regras mais frequentes do que outras regras do gráfico de segurança. O sistema processa as regras de ameaça a cada hora. Essa abordagem se integra às fontes de detecção do Security Command Center.
Regras de ameaças correlacionadas
As ameaças correlacionadas ajudam a identificar vários padrões de ataques de vários estágios em recursos da nuvem. As seguintes regras de ameaças correlacionadas estão disponíveis:
Vários indicadores de ameaças correlacionados de software de mineração de criptomoedas: essa regra procura vários indicadores distintos de software malicioso provenientes de máquinas virtuais Google Cloud , incluindo VMs do Compute Engine e nós do Google Kubernetes Engine (GKE) (e os pods deles).
Os exemplos incluem:
- A VM Threat Detection detecta um programa de criptomoeda, e a Event Threat Detection detecta conexões com endereços IP ou domínios de criptomoedas da mesma VM.
- A detecção de ameaças em contêineres detecta um programa que está usando o protocolo de mineração de criptomoedas, e a detecção de ameaças a eventos detecta uma conexão com um endereço IP de mineração de criptomoedas do mesmo nó do Google Kubernetes Engine.
Vários indicadores de ameaças correlacionados de software malicioso: essa regra procura vários indicadores distintos de software malicioso provenientes de máquinas virtuaisGoogle Cloud , incluindo VMs do Compute Engine e nós do GKE (e os pods deles).
Os exemplos incluem:
- O Container Threat Detection detecta a execução de um binário malicioso e um script Python malicioso no mesmo pod.
- A detecção de ameaças de eventos detecta uma conexão com um endereço IP de malware, e a detecção de ameaças à VM detecta malware no disco da mesma VM.
Movimento lateral de uma conta do GCP potencialmente comprometida para uma instância do GCE comprometida: essa regra procura evidências de chamadas suspeitas para APIs do Compute Engine que modificam uma VM (incluindo nós do GKE). Em seguida, a regra correlaciona essa atividade com atividades maliciosas originadas da VM em um curto período. Esse padrão comum de movimentação lateral é usado por invasores. Essa regra pode indicar que a VM está comprometida. Essa regra também pode indicar que a conta Google Cloud(de usuário ou de conta de serviço) pode ser a causa da atividade maliciosa.
Os exemplos incluem:
- A detecção de ameaças a eventos detecta que um usuário adicionou uma nova chave SSH a uma instância do Compute Engine, e a detecção de ameaças a VMs detecta um minerador de criptomoedas em execução na mesma instância.
- A detecção de ameaças de eventos detecta que uma conta de serviço acessou uma instância usando a API Compute Engine na rede Tor, e detecta conexões com um endereço IP malicioso na mesma instância.
Investigar ameaças correlacionadas
As ameaças correlacionadas orientam você em um processo de investigação estruturado. Esse processo ajuda você a entender e responder a incidentes de segurança de forma eficaz. Use o índice de descobertas de ameaças para encontrar mais informações sobre uma descoberta específica. Cada página específica de descoberta descreve como investigar e responder à ameaça.
Recepção
Você recebe um problema de ameaças correlacionadas pelo Security Command Center. Esse problema indica que o sistema detectou e agrupou várias descobertas suspeitas. Você reconhece esse problema como de alta prioridade porque ele está marcado como uma ameaça ativa. A correlação de vários indicadores aponta para um verdadeiro positivo que exige atenção imediata. Para mais informações, consulte Gerenciar e corrigir problemas.
Desconstrução
Abra a edição para ver as partes dela. Na visualização de detalhes do problema, é possível abrir uma seção para conferir as descobertas individuais. Por exemplo, se um script prejudicial for executado em um nó do GKE e se conectar a um endereço IP malicioso, os dois eventos vão aparecer juntos. Verifique os detalhes de cada descoberta, como quando ela ocorreu, quais processos foram envolvidos, os endereços IP maliciosos e de onde veio a detecção. Essas informações indicam que os eventos estão potencialmente relacionados e explicam os detalhes técnicos do ataque. Uma visualização cronológica mostra a sequência de eventos. O sistema mapeia esses detalhes para as etapas da cadeia de ataque do MITRE ATT&CK e os apresenta em uma visualização da cadeia de ataque. Esse recurso oferece contexto imediato sobre a fase do ataque.
Identificação do escopo
Determine a extensão da ameaça. Verifique informações contextuais sobre os eventos correlacionados, como o recurso afetado e o contexto do projeto ou cluster. A plataforma correlaciona problemas por recurso, usando identificadores exclusivos para vincular eventos ao mesmo nó. Isso mostra o recurso afetado. Verifique se outros recursos mostram sinais semelhantes. Observe as identidades envolvidas, como a conta de serviço ou o usuário que executou o script malicioso. Essa visualização com escopo ajuda você a se concentrar nos sistemas afetados e confirma se o incidente é localizado ou generalizado.
Próximas ações
O sistema marca problemas de ameaças correlacionadas com uma gravidade crítica. Você pode encontrar ações recomendadas nas visualizações Como corrigir. Contenha o recurso afetado, por exemplo, isolando ou desligando o nó do GKE afetado. Siga as recomendações, como bloquear o IP malicioso conhecido no firewall ou no nível da VPC da nuvem. As ações recomendadas ajudam você a responder mais rápido, conter o incidente e iniciar uma investigação focada. Para mais informações sobre ameaças, consulte Como investigar ameaças.
A seguir
- Visão geral da detecção de ameaças de contêiner
- Visão geral da detecção de ameaças de eventos
- Visão geral da Detecção de ameaças a máquinas virtuais
- Saiba como gerenciar e corrigir problemas