关联威胁概览

Security Command Center 中的“关联威胁”功能可帮助您发现环境中的严重活跃威胁。“关联威胁”会输出一组相关的威胁发现结果，并提供有关这些发现结果的深入说明，然后您可以使用这些说明来确定这些威胁的优先级、了解这些威胁并做出相应应对。

安全团队经常会因管理大量威胁发现而感到警报疲劳。这种情况可能会导致错过或延迟收到回复。这些团队需要快速获取优先处理的相关信息，以便识别利用漏洞后的活动。

关联威胁功能可将多个相关的威胁发现结果汇总为一个问题，从而提供帮助。这种汇总有助于提供可供您采取行动的置信度更高的检测结果。关联威胁会生成一个问题，表示一系列相关的恶意活动。

此功能具有多种优势，包括：

• 通过将众多发现结果整合为严重问题，减少频繁的提醒。
• 通过组合多个信号来提高检测保真度，有助于提高检测恶意活动的置信度。
• 提供攻击链的可视化图表，显示事件如何关联以帮助形成完整的攻击故事。这种方法有助于您预测攻击者的行动，并快速识别遭入侵的资产。
• 突出显示严重威胁并提供清晰的建议，帮助您确定响应优先级并加快响应速度。

关联威胁的运作方式

“关联威胁”功能使用规则引擎来识别相关安全发现结果并将其分组。

规则引擎会使用预定义的关联威胁查询查询安全图。然后，引擎会将这些查询结果转换为问题。Security Command Center 会管理这些威胁问题的生命周期。如果您不忽略问题或将其标记为无效，问题会在首次发现威胁后保持有效状态 14 天。此时间段由系统自动设置，无法配置。如果删除了相关威胁的底层资源（例如虚拟机或 Google Kubernetes Engine 节点），相关威胁会自动解决。

相关威胁需要比其他安全图规则更频繁地执行规则。系统每小时处理一次威胁规则。此方法可与现有的 Security Command Center 检测来源集成。

关联威胁规则

关联威胁有助于识别云资源中的各种多阶段攻击模式。以下相关威胁规则可供使用：

• 加密货币挖矿软件的多个相关联的威胁信号：此规则会查找来自 Google Cloud 虚拟机的恶意软件的多个不同信号，包括 Compute Engine 虚拟机和 Google Kubernetes Engine (GKE) 节点（及其 Pod）。

  示例如下：

  • VM Threat Detection 检测到加密货币程序，而 Event Threat Detection 检测到来自同一虚拟机的加密货币 IP 地址或网域的连接。
  • Container Threat Detection 检测到某个程序正在使用加密货币挖矿 stratum 协议，而 Event Threat Detection 检测到来自同一 Google Kubernetes Engine 节点的加密货币挖矿 IP 地址的连接。

• 多个相关的恶意软件威胁信号：此规则会查找来自Google Cloud 虚拟机（包括 Compute Engine 虚拟机和 GKE 节点 [及其 Pod]）的多个不同的恶意软件信号。

  示例如下：

  • Container Threat Detection 检测到在同一 Pod 中执行了恶意二进制文件和恶意 Python 脚本。
  • Event Threat Detection 检测到与恶意软件 IP 地址的连接，而 VM Threat Detection 检测到同一虚拟机中磁盘上的恶意软件。

• 可能遭到入侵的 GCP 账号横向移动到遭到入侵的 GCE 实例：此规则会查找对修改虚拟机的 Compute Engine API（包括 GKE 节点）进行可疑调用的证据。然后，该规则会将该活动与短时间内源自虚拟机的恶意活动相关联。攻击者会使用这种常见的横向移动模式。此规则可能表明虚拟机遭到入侵。此规则还可能表明， Google Cloud账号（用户账号或服务账号）可能是恶意活动的原因。

  示例如下：

  • Event Threat Detection 检测到用户向 Compute Engine 实例添加了新的 SSH 密钥，而 VM Threat Detection 检测到同一实例上运行着加密货币挖矿程序。
  • Event Threat Detection 检测到服务账号通过 Compute Engine API 从 Tor 网络访问了实例，并且 Event Threat Detection 检测到同一实例与恶意 IP 地址建立了连接。

调查关联的威胁

“关联威胁”功能会引导您完成结构化调查流程。此流程有助于您了解并有效应对安全事件。您可以使用威胁发现结果索引查找有关特定威胁发现结果的更多信息。每个特定发现结果页面都介绍了如何调查和应对相应威胁。

接待

您通过 Security Command Center 收到了“关联威胁”问题。此问题表示系统检测到多个可疑发现并将其归为一组。您会发现此问题被标记为活跃威胁，因此会将其视为高优先级问题。多种信号的相关性表明存在真阳性，需要立即重点关注。如需了解详情，请参阅管理和解决问题。

解构

打开问题即可查看其各个部分。在问题详情视图中，您可以展开某个部分以查看各个发现结果。例如，如果有害脚本在 GKE 节点上运行，然后连接到恶意 IP 地址，则这两个事件会一起显示。检查每项发现的详细信息，例如发生时间、涉及的进程、恶意 IP 地址以及检测来源。此信息表明这些事件可能相关，并说明了攻击的技术细节。时间顺序视图显示事件序列。系统会将这些详细信息映射到 MITRE ATT&CK 攻击链阶段，并在攻击链可视化图表中显示这些信息。此功能可让您立即了解攻击阶段。

范围识别

确定威胁的程度。查看相关事件的背景信息，例如受影响的资产及其项目或集群背景信息。平台会使用唯一标识符将事件与同一节点相关联，从而按资源关联问题。这会显示受影响的资产。验证其他资源是否显示类似迹象。记下涉及的身份，例如运行恶意脚本的服务账号或用户。此范围限定视图可帮助您专注于受影响的系统，并确认事件是局部性还是广泛性。

后续操作

系统会将相关威胁问题标记为严重级别。您可以在如何修正视图中找到建议的操作。控制受影响的资产，例如隔离或关闭受影响的 GKE 节点。遵循建议，例如在防火墙或 Cloud VPC 级层屏蔽已知的恶意 IP。建议的操作有助于您更快地做出响应、遏制突发事件并展开有针对性的调查。 如需详细了解威胁，请参阅如何调查威胁。

后续步骤

• Container Threat Detection 概览
• Event Threat Detection 概览
• Virtual Machine Threat Detection 概览
• 了解如何管理和修复问题