本文提供高階資訊,說明如何在 Security Command Center 中處理威脅發現項目。
事前準備
您必須具備必要的 Identity and Access Management (IAM) 角色,才能查看或編輯發現項目和記錄,以及修改 Google Cloud 資源。如果在 Security Command Center 中遇到存取錯誤,請向管理員尋求協助,並參閱「存取權控管」一文瞭解角色。如要解決資源錯誤,請參閱受影響產品的說明文件。
瞭解威脅發現項目
Security Command Center 內建偵測服務,可運用不同技術偵測雲端環境中的威脅。
Event Threat Detection 會比對 Cloud Logging 記錄串流中的事件與已知的入侵指標 (IoC),藉此產生安全性發現結果。IoC 由 Google 內部安全防護機制來源開發,可識別潛在漏洞和攻擊。Event Threat Detection 也會偵測記錄串流中已知的敵對策略、技術和程序,以及偵測貴機構或專案過去行為的偏差情形,藉此偵測威脅。如果您在機構層級啟用 Security Command Center Premium 方案,Event Threat Detection 也可以掃描 Google Workspace 記錄。
Container Threat Detection 會收集及分析容器訪客核心中觀察到的低階行為,藉此產生發現項目。
虛擬機器威脅偵測會掃描 Compute Engine 專案和虛擬機器 (VM) 執行個體,偵測 VM 中執行的潛在惡意應用程式,例如加密貨幣挖礦軟體和核心模式 Rootkit。
Cloud Run Threat Detection 會監控支援的 Cloud Run 資源狀態,偵測最常見的執行階段攻擊。
敏感動作服務會偵測 Google Cloud 機構、資料夾和專案中執行的動作,如果這些動作是由惡意行為人執行,可能會對您的業務造成損害。
異常偵測 會使用您系統以外的行為信號,偵測服務帳戶中的安全性異常狀況,例如憑證可能遭到外洩。
這些偵測服務會在 Security Command Center 中產生發現項目。您也可以設定持續匯出至 Cloud Logging。
查看調查和回應建議
Security Command Center 提供非正式的指引,協助您調查環境中可能來自惡意行為者的可疑活動發現項目。 Google Cloud 按照這些指引操作,有助於瞭解潛在攻擊期間發生的情況,並為受影響的資源制定可能的因應措施。
Security Command Center 提供的技術不保證能有效防範您面臨的任何先前、目前或未來威脅。如要瞭解 Security Command Center 為何不提供威脅的官方補救措施指引,請參閱「補救威脅」。
- 如要查看調查和回應建議,請在「威脅發現項目索引」中找出發現項目。
如要查看全盤性回覆建議,請參閱下列文章:
查看發現項目
如要在 Google Cloud 控制台中查看威脅發現項目,請按照下列步驟操作:
前往 Google Cloud 控制台的 Security Command Center「發現項目」頁面。
視需要選取 Google Cloud 專案、資料夾或機構。
在「快速篩選器」部分中,按一下適當的篩選器,即可在「發現項目查詢結果」表格中顯示所需發現項目。舉例來說,如果您在「來源顯示名稱」子章節中選取「Event Threat Detection」或「Container Threat Detection」,結果中只會顯示所選服務的發現項目。
表格會填入所選來源的發現項目。
如要查看特定發現項目的詳細資料,請按一下
Category下方的發現項目名稱。系統會展開調查結果詳細資料窗格,顯示調查結果詳細資料的摘要。如要查看發現項目的 JSON 定義,請按一下「JSON」分頁標籤。
調查結果會提供事件中涉及的資源名稱和數字 ID,以及環境變數和資產屬性。您可以利用這項資訊快速找出受影響的資源,並判斷可能的事件影響範圍。
為協助您進行調查,威脅發現結果也包含下列外部資源的連結:
- MITRE ATT&CK 架構項目。這個架構說明瞭針對雲端資源的攻擊手法,並提供補救指引。
VirusTotal 是 Alphabet 旗下的服務,可提供潛在惡意檔案、網址、網域和 IP 位址的相關資訊。如有可用的 VirusTotal 指標欄位,系統會提供 VirusTotal 的連結,協助您進一步調查潛在的安全性問題。
VirusTotal 是另外計費的服務,有不同的用量限制和功能。您有責任瞭解並遵守 VirusTotal 的 API 使用政策,以及支付任何相關費用。詳情請參閱 VirusTotal 說明文件。
以下各節說明如何因應威脅發現。
停用威脅發現項目
解決觸發威脅發現項目的問題後,Security Command Center 不會自動將發現項目的狀態設為 INACTIVE。除非您手動將 state 屬性設為 INACTIVE,否則威脅發現項目的狀態會維持 ACTIVE。
如果是誤判,請考慮將發現項目的狀態保留為 ACTIVE,並改為將發現項目設為靜音。
如果誤判情況持續發生或重複出現,請建立忽略規則。設定靜音規則可減少需要管理的發現項目數量,因此發生真正的威脅時,您就能更輕鬆地找出。
如果發現的項目確實是威脅,請先消除威脅,並徹底調查偵測到的威脅、入侵程度,以及任何其他相關發現和問題,再將發現項目的狀態設為「已解決」INACTIVE。
如要忽略發現項目或變更其狀態,請參閱下列主題:
修正相關安全漏洞
為避免威脅再次發生,請檢查並修正相關安全漏洞和設定錯誤發現項目。
如要找出任何相關發現,請按照下列步驟操作:
在 Google Cloud 控制台中,前往 Security Command Center 的「發現項目」頁面。
查看威脅發現項目,並複製可能出現在任何相關安全性弱點或錯誤設定發現項目中的屬性值,例如主體電子郵件地址或受影響資源的名稱。
在「Findings」(發現) 頁面中,按一下「Edit query」(編輯查詢),開啟「Query editor」(查詢編輯器)。
按一下「新增篩選條件」,「選取篩選器」選單隨即開啟。
在選單左側的篩選條件類別清單中,選取包含您在威脅發現中記錄的屬性類別。
舉例來說,如果您記下受影響資源的完整名稱,請選取「Resource」。「資源」類別的屬性類型會顯示在右側的欄中,包括「全名」屬性。
從顯示的屬性中,選取您在威脅發現項目中記錄的屬性類型。屬性值的搜尋面板會在右側開啟,並顯示所選屬性類型的所有值。
在「Filter」(篩選器) 欄位中,貼上您從威脅發現項目複製的屬性值。顯示的值清單會更新,只顯示與貼上值相符的值。
從顯示的值清單中選取一或多個值,然後按一下「套用」。「發現項目查詢結果」面板會更新,只顯示相符的發現項目。
如果結果中有很多發現項目,請從「快速篩選器」面板選取其他篩選器,篩選發現項目。
舉例來說,如要只顯示包含所選屬性值的
Vulnerability和Misconfiguration類別發現項目,請前往「快速篩選器」面板的「發現項目類別」部分,然後選取「安全性弱點」和「設定錯誤」。
修正威脅
與安全漏洞和錯誤設定發現項目不同,Security Command Center 不會針對威脅發現項目提供正式的補救措施指引。Security Command Center 提供的非正式指引不保證能有效防範先前、目前或未來的任何威脅。
錯誤設定和違規情形會指出資源中可能遭利用的弱點。通常錯誤設定都有已知的修正方式,例如啟用防火牆或輪替加密金鑰。
威脅與安全漏洞不同,威脅是動態的,表示可能正在對一或多個資源進行攻擊。由於您可能不知道確切的攻擊手法,因此補救建議可能無法有效保護資源。
舉例來說,Added Binary Executed 發現結果表示容器中啟動了未經授權的二進位檔。基本的補救建議可能建議您隔離容器並刪除二進位檔,但這可能無法解決導致攻擊者存取並執行二進位檔的根本原因。您需要找出容器映像檔損毀的原因,才能修正這個漏洞。如要判斷檔案是透過設定錯誤的連接埠新增,還是透過其他方式新增,需要進行深入調查。系統可能需要由具備專業知識的分析師審查,找出弱點。
惡意行為者會使用不同技術攻擊資源,因此針對特定攻擊手法套用修正措施,可能無法有效防範該攻擊的變種。舉例來說,為回應 Brute Force: SSH 發現的結果,您可能會降低部分使用者帳戶的權限等級,以限制資源存取權。但如果密碼強度不足,攻擊者仍可能找到攻擊路徑。
由於攻擊載體種類繁多,因此難以提供適用於所有情況的補救步驟。在雲端安全防護計畫中,Security Command Center 的角色是近乎即時地找出受影響的資源、告知您面臨的威脅,並提供證據和背景資訊,協助您進行調查。不過,您的安全人員必須使用 Security Command Center 發現結果中的大量資訊,判斷修正問題和保護資源的最佳方式,防範日後攻擊。