Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Visão geral das ameaças correlacionadas

O recurso Correlated Threats no Security Command Center ajuda a descobrir ameaças ativas críticas no seu ambiente. O Correlated Threats gera um conjunto de descobertas de ameaças relacionadas e oferece explicações detalhadas sobre elas, que podem ser usadas para priorizar, entender e responder a essas ameaças.

As equipes de segurança costumam sofrer fadiga de alertas ao gerenciar um número excessivo de descobertas de ameaças. Essa situação pode levar a respostas perdidas ou atrasadas. Essas equipes precisam de informações priorizadas e relevantes rapidamente para identificar atividades pós-exploração.

O Correlated Threats ajuda agregando várias descobertas de ameaças relacionadas em um problema. Essa agregação ajuda a fornecer detecções de maior confiança em que você pode agir. O Correlated Threats gera um problema, que representa uma série de atividades maliciosas relacionadas.

Esse recurso oferece vários benefícios:

Reduz a fadiga de alertas ao consolidar várias descobertas em problemas críticos.
Melhora a fidelidade da detecção combinando vários sinais, ajudando a aumentar a confiança na detecção de atividades maliciosas.
Fornece uma visualização da cadeia de ataques, mostrando como os eventos se conectam para formar uma história completa de ataques. Essa abordagem ajuda a prever os movimentos do adversário e identificar rapidamente os recursos comprometidos.
Destaca ameaças críticas e oferece recomendações claras, ajudando a priorizar e acelerar sua resposta.

Como o Correlated Threats funciona

O recurso Correlated Threats usa um mecanismo de regras para identificar e agrupar descobertas de segurança relacionadas.

O mecanismo de regras consulta o gráfico de segurança com predefinidas consultas do Correlated Threats. Em seguida, o mecanismo traduz esses resultados de consulta em problemas. O Security Command Center gerencia o ciclo de vida desses problemas de ameaças. Um problema permanece ativo por 14 dias após a primeira descoberta de ameaça, se você não silenciar ou marcar como inativo. Esse período é definido automaticamente e não pode ser configurado. O Correlated Threats é resolvido automaticamente se os recursos subjacentes, como VMs ou nós do Google Kubernetes Engine, forem excluídos.

O Correlated Threats exige execuções de regras mais frequentes do que outras regras de gráfico de segurança. O sistema processa regras de ameaças por hora. Essa abordagem se integra às fontes de detecção do Security Command Center.

Regras do Correlated Threats

O Correlated Threats ajuda a identificar vários padrões de ataque de vários estágios em recursos de nuvem. As seguintes regras do Correlated Threats estão disponíveis:

Vários sinais de ameaças correlacionadas de software de mineração de criptomoedas: essa regra procura vários sinais distintos de software malicioso provenientes de Google Cloud máquinas virtuais, incluindo VMs do Compute Engine e nós do Google Kubernetes Engine (GKE) (e os pods deles).

Os exemplos incluem:
- A detecção de ameaças de VM detecta um programa de criptomoedas, e a Event Threat Detection detecta conexões com endereços IP ou domínios de criptomoedas da mesma VM.
- A Detecção de Ameaças em Contêiner detecta um programa que está usando o protocolo de camada de mineração de criptomoedas, e o Event Threat Detection detecta uma conexão com um endereço IP de mineração de criptomoedas do mesmo nó do Google Kubernetes Engine.
Vários sinais de ameaças correlacionadas de software malicioso: essa regra procura vários sinais distintos de software malicioso provenientes de Google Cloud máquinas virtuais, incluindo VMs do Compute Engine e nós do GKE (e os pods deles) ou o ambiente de execução do agente.

Os exemplos incluem:
- A Detecção de Ameaças em Contêiner detecta a execução de um binário mal-intencionado e um script Python mal-intencionado no mesmo pod.
- O Event Threat Detection detecta uma conexão com um endereço IP de malware, e o VM Threat Detection detecta malware no disco na mesma VM.
- A detecção de ameaças da plataforma do agente detecta um URL malicioso e um shell reverso do mesmo agente de IA.
Movimento lateral da conta do GCP potencialmente comprometida para o recurso de computação comprometido: essa regra procura evidências de chamadas suspeitas para APIs de computação (Compute Engine ou GKE) que modificam uma VM ou um pod. Em seguida, a regra correlaciona essa atividade com atividades maliciosas originadas do recurso de computação em um curto período. Os invasores costumam usar esse padrão de movimento lateral. Essa regra indica que a VM ou o pod provavelmente está comprometido. Essa regra também indica que a Google Cloud conta (usuário ou conta de serviço) pode ser a causa da atividade maliciosa.

Os exemplos incluem:
- O Event Threat Detection detecta que um usuário adicionou uma nova chave SSH a uma instância do Compute Engine, e o VM Threat Detection detecta um minerador de criptomoedas em execução na mesma instância.
- O Event Threat Detection detecta que uma conta de serviço acessou uma instância usando a API Compute Engine na rede Tor, e o Event Threat Detection detecta conexões com um endereço IP mal-intencionado da mesma instância.
- O Event Threat Detection detecta que um usuário criou um contêiner privilegiado, e o Container Threat Detection detecta que o contêiner acessou arquivos confidenciais no nó do GKE do mesmo pod.

Investigar ameaças correlacionadas

O Correlated Threats orienta você em um processo de investigação estruturado. Esse processo ajuda a entender e responder a incidentes de segurança de maneira eficaz. Você pode usar o índice de descobertas de ameaças para encontrar mais informações sobre uma descoberta de ameaça específica. Cada página específica de descoberta descreve como investigar e responder à ameaça.

Sinal

Você recebe um problema de Correlated Threats pelo Security Command Center. Esse problema indica que o sistema detectou e agrupou várias descobertas suspeitas. Você reconhece esse problema como de alta prioridade, porque ele está marcado como uma ameaça ativa. A correlação de vários sinais indica um verdadeiro positivo que justifica o foco imediato. Para mais informações, consulte Gerenciar e corrigir problemas.

Desconstrução

Abra o problema para ver as partes dele. Na visualização de detalhes do problema, é possível expandir uma seção para ver as descobertas individuais. Por exemplo, se um script prejudicial for executado em um nó do GKE e se conectar a um endereço IP malicioso, os dois eventos vão aparecer juntos. Verifique os detalhes de cada descoberta, como quando ela ocorreu, quais processos estavam envolvidos, os endereços IP maliciosos e de onde veio a detecção. Essas informações indicam que os eventos podem estar relacionados e explicam os detalhes técnicos do ataque. Uma visualização cronológica mostra a sequência de eventos. O sistema mapeia esses detalhes para os estágios da cadeia de ataques do MITRE ATT&CK e os apresenta em uma visualização da cadeia de ataques. Esse recurso oferece contexto imediato sobre o estágio do ataque.

Identificação do escopo

Determine a extensão da ameaça. Verifique as informações contextuais sobre os eventos correlacionados, como o recurso afetado e o contexto do projeto ou cluster. A plataforma correlaciona problemas por recurso, usando identificadores exclusivos para vincular eventos ao mesmo nó. Isso mostra o recurso afetado. Verifique se outros recursos mostram sinais semelhantes. Observe as identidades envolvidas, como a conta de serviço ou o usuário que executou o script malicioso. Essa visualização com escopo ajuda você a se concentrar nos sistemas afetados e confirma se o incidente é localizado ou generalizado.

Próximas ações

O sistema marca problemas de ameaças correlacionadas com uma gravidade crítica. Você pode encontrar ações recomendadas nas visualizações Como corrigir. Contenha o recurso afetado, por exemplo, isolando ou desligando o nó do GKE afetado. Siga as recomendações, como bloquear o IP malicioso conhecido no firewall ou no nível da VPC da nuvem. As ações recomendadas ajudam você a responder mais rapidamente, conter o incidente e iniciar uma investigação focada. Para mais informações sobre como investigar ameaças, consulte Como investigar ameaças.