Security Command Center 的「關聯威脅」功能可協助您找出環境中重要的現有威脅。關聯威脅會輸出相關威脅發現結果,並提供這些發現結果的深入說明,方便您優先處理、瞭解及回應這些威脅。
資安團隊經常要管理大量威脅發現,因此容易出現警示疲乏。這可能會導致回覆延遲或遺漏。這些團隊需要優先處理相關資訊,以便快速找出遭入侵後的活動。
關聯威脅會將多個相關威脅發現結果匯總為一個問題,這項匯總功能有助於提供可信度更高的偵測結果,方便您採取行動。關聯威脅會產生問題,代表一系列相關的惡意活動。
這項功能的優點有:
- 將大量發現項目整合成重大問題,減少過多快訊。
- 結合多個信號,提高偵測準確度,有助於提高偵測惡意活動的信心。
- 提供攻擊鏈的可視化資訊,顯示事件如何連結,協助您瞭解完整的攻擊故事。這種做法有助於預測攻擊者的行動,並快速找出遭入侵的資產。
- 醒目顯示重大威脅並提供明確建議,協助您優先處理並加快回應速度。
關聯威脅的運作方式
「關聯威脅」功能會使用規則引擎,找出並分組相關安全性發現。
規則引擎會使用預先定義的關聯威脅查詢查詢安全性圖表。接著,引擎會將這些查詢結果轉換為問題。Security Command Center 會管理這些威脅問題的生命週期。如果沒有將問題設為靜音或標示為不活躍,問題會在首次發現威脅後持續活躍 14 天。這段時間範圍是系統自動設定,無法調整。如果刪除基礎資源 (例如 VM 或 Google Kubernetes Engine 節點),系統就會自動解決相關威脅。
相較於其他安全圖表規則,關聯威脅需要更頻繁地執行規則。系統每小時會處理一次威脅規則。這種做法會與現有的 Security Command Center 偵測來源整合。
有關聯的威脅規則
關聯威脅有助於識別雲端資源中各種多階段攻擊模式。可用的關聯威脅規則如下:
加密貨幣挖礦軟體的多個相關威脅信號:這項規則會尋找來自 Google Cloud 虛擬機器的多個惡意軟體信號,包括 Compute Engine VM 和 Google Kubernetes Engine (GKE) 節點 (及其 Pod)。
例如:
- VM 威脅偵測服務偵測到加密貨幣程式,且事件威脅偵測服務偵測到來自同一部 VM 的加密貨幣 IP 位址或網域連線。
- Container Threat Detection 偵測到使用加密貨幣挖礦層協議的程式,而 Event Threat Detection 則偵測到來自相同 Google Kubernetes Engine 節點的加密貨幣挖礦 IP 位址連線。
惡意軟體的多個相關威脅信號:這項規則會尋找來自Google Cloud 虛擬機器 (包括 Compute Engine VM 和 GKE 節點 (及其 Pod)) 的多個惡意軟體信號。
例如:
- Container Threat Detection 會偵測到同一個 Pod 中執行惡意二進位檔和惡意 Python 指令碼。
- Event Threat Detection 偵測到與惡意軟體 IP 位址的連線,而 VM Threat Detection 偵測到同一部 VM 磁碟上的惡意軟體。
GCP 帳戶可能遭入侵,並橫向移動至遭入侵的 GCE 執行個體:這項規則會尋找可疑的 Compute Engine API 呼叫證據,這些呼叫會修改 VM (包括 GKE 節點)。接著,這項規則會將該活動與短時間內源自 VM 的惡意活動建立關聯。攻擊者會使用這種常見的橫向移動模式。這項規則可能表示 VM 遭到入侵。這項規則也可能表示帳戶 (使用者或服務帳戶) 可能是惡意活動的起因。 Google Cloud
例如:
- Event Threat Detection 偵測到使用者在 Compute Engine 執行個體中新增了安全殼層金鑰,而 VM Threat Detection 則偵測到同一執行個體正在執行加密貨幣挖礦程式。
- Event Threat Detection 偵測到服務帳戶透過 Tor 網路使用 Compute Engine API 存取執行個體,且 Event Threat Detection 偵測到來自同一執行個體的惡意 IP 位址連線。
調查相關威脅
「相關威脅」會引導您完成結構化調查程序。這項程序可協助您瞭解並有效因應安全事件。您可以透過威脅發現項目索引,進一步瞭解特定威脅發現項目。每個發現結果專屬頁面都會說明如何調查及回應威脅。
接待
您透過 Security Command Center 收到「關聯威脅」問題。這個問題表示系統偵測到多項可疑發現項目,並將其歸類為同一群組。您發現這個問題標示為「活躍威脅」,因此將其視為高優先順序。多個信號的關聯性表示有真正的威脅,因此需要立即處理。詳情請參閱「管理及修正問題」。
解構
開啟問題即可查看各部分。在問題詳細資料檢視畫面中,您可以展開某個部分,查看個別發現結果。舉例來說,如果有害指令在 GKE 節點上執行,然後連線至惡意 IP 位址,這兩項事件就會一起顯示。查看每項發現的詳細資料,例如發生時間、涉及的程序、惡意 IP 位址,以及偵測來源。這項資訊表示事件可能相關,並說明攻擊的技術細節。依時間順序顯示事件。系統會將這些詳細資料對應至 MITRE ATT&CK 攻擊鏈階段,並在攻擊鏈視覺化中呈現。這項功能可立即提供攻擊階段的背景資訊。
範圍識別
判斷威脅的嚴重程度。查看相關事件的脈絡資訊,例如受影響的資產及其專案或叢集脈絡。平台會使用專屬 ID 將事件繫結至相同節點,藉此依資源關聯問題。顯示受影響的資產。確認其他素材資源是否出現類似徵兆。請記下涉及的身分,例如執行惡意指令碼的服務帳戶或使用者。這個範圍檢視畫面可協助您專注於受影響的系統,並確認事件是局部還是大範圍發生。
後續行動
系統會將關聯威脅問題標示為嚴重程度「重大」。您可以在「如何修正」檢視畫面中找到建議採取的行動。控制受影響的資產,例如隔離或關閉受影響的 GKE 節點。按照建議操作,例如在防火牆或雲端虛擬私有雲層級封鎖已知惡意 IP。建議採取的行動可協助您更快做出回應、控制事件,並展開重點調查。如要進一步瞭解威脅,請參閱「如何調查威脅」。
後續步驟
- Container Threat Detection 簡介
- Event Threat Detection 簡介
- Virtual Machine Threat Detection 簡介
- 瞭解如何管理及修復問題