חקירה של איומים ומתן מענה לאיומים

‫

במסמך הזה מוסבר איך לעבוד עם ממצאי איומים ב-Security Command Center.

לפני שמתחילים

‫

כדי להציג או לערוך ממצאים ויומנים ולשנות משאבים, צריך להיות לכם תפקיד בניהול זהויות והרשאות גישה (IAM). Google Cloud אם נתקלתם בשגיאות גישה ב-Security Command Center, תוכלו לבקש עזרה מהאדמין שלכם ולעיין במאמר בקרת גישה כדי לקבל מידע על תפקידים. כדי לפתור שגיאות שקשורות למשאבים, צריך לקרוא את מאמרי העזרה של המוצרים המושפעים.

בדיקה של המלצות לחקירה ולתגובה

ב-Security Command Center יש הנחיות לא רשמיות שיעזרו לכם לחקור ממצאים של פעילויות חשודות בסביבת Google Cloud שלכם, שבוצעו על ידי גורמים זדוניים פוטנציאליים. ההנחיות האלה יעזרו לכם להבין מה קרה במהלך מתקפה פוטנציאלית ולפתח תגובות אפשריות למשאבים שנפגעו.

אין ערובה לכך שהטכניקות שמוצעות ב-Security Command Center יהיו יעילות נגד איומים קודמים, נוכחיים או עתידיים שאתם עלולים להתמודד איתם. מידע על הסיבות לכך ש-Security Command Center לא מספק הנחיות רשמיות לטיפול באיומים זמין במאמר בנושא טיפול באיומים.

• כדי לראות את ההמלצות לחקירה ולתגובה לגבי ממצא, מאתרים את הממצא באינדקס הממצאים בנושא איומים.

• כדי לראות המלצות כלליות לתגובה, אפשר לעיין במאמרים הבאים:

  • תגובה לממצאים של איומים שזוהו על ידי AI
  • תגובה לממצאי איומים ב-Cloud Run
  • תגובה לממצאי איומים ב-Compute Engine
  • תגובה לממצאי איומים ב-Google Kubernetes Engine
  • תגובה לממצאי איומים ב-Google Workspace
  • תגובה לממצאים של איומים ברשת

בדיקת ממצא

‫

כדי לבדוק ממצא איום ב Google Cloud מסוף:

1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

   כניסה לדף Findings

2. במקרה הצורך, בוחרים את Google Cloud הפרויקט, התיקייה או הארגון.

3. בקטע Quick filters (מסננים מהירים), לוחצים על המסנן המתאים כדי להציג את הממצא שרוצים בטבלה Findings query results (תוצאות שאילתת הממצאים). לדוגמה, אם בוחרים באפשרות Event Threat Detection או זיהוי איומים בקונטיינר בקטע המשנה Source display name, בתוצאות יופיעו רק ממצאים מהשירות שנבחר.

   הטבלה תאוכלס בממצאים לגבי המקור שבחרתם.

4. כדי לראות את הפרטים של ממצא ספציפי, לוחצים על שם הממצא בקטע Category. חלונית הפרטים של הממצא מתרחבת ומוצג בה סיכום של פרטי הממצא.

5. כדי לראות את הגדרת ה-JSON של הממצא, לוחצים על הכרטיסייה JSON.

הממצאים מספקים את השמות והמזהים המספריים של המשאבים שמעורבים באירוע, יחד עם משתני הסביבה ומאפייני הנכסים. אתם יכולים להשתמש במידע הזה כדי לבודד במהירות את המשאבים שהושפעו ולקבוע את ההיקף הפוטנציאלי של אירוע.

כדי לעזור לכם בבדיקה, ממצאי האיומים מכילים גם קישורים למקורות החיצוניים הבאים:

• ערכים ב-framework‏ MITRE ATT&CK. המסגרת מסבירה שיטות של מתקפות נגד משאבי ענן ומספקת הנחיות לתיקון שגיאות.

• ‫VirusTotal, שירות בבעלות Alphabet, מספק הקשר לגבי קבצים, כתובות URL, דומיינים וכתובות IP שעלולים להיות זדוניים. אם הוא זמין, השדה VirusTotal Indicator מספק קישור ל-VirusTotal כדי לעזור לכם לחקור בעיות אבטחה פוטנציאליות.

  ‫VirusTotal הוא מוצר נפרד עם תמחור שונה, מכסות שימוש שונות ותכונות שונות. באחריותכם להבין את מדיניות השימוש ב-API של VirusTotal ולפעול בהתאם, וכן לשאת בכל העלויות שקשורות לכך. מידע נוסף זמין במסמכי התיעוד של VirusTotal.

בקטעים הבאים מפורטות תגובות אפשריות לממצאי איומים.

השבתה של ממצא איום

‫

אחרי שפותרים בעיה שהפעילה ממצא איום, Security Command Center לא מגדיר אוטומטית את מצב הממצא לINACTIVE. המצב של ממצא איום נשאר ACTIVE אלא אם מגדירים ידנית את המאפיין state לערך INACTIVE.

אם מדובר בתוצאת שווא חיובית, אפשר להשאיר את הסטטוס של הממצא כ-ACTIVE ולהשתיק את הממצא במקום זאת.

עבור תוצאות חיוביות כוזבות שחוזרות על עצמן או קבועות, צרו כלל להשתקת ממצאים. הגדרת כלל להשתקת התראות יכולה לצמצם את מספר הממצאים שצריך לנהל, וכך קל יותר לזהות איום אמיתי כשמתרחש אירוע כזה.

אם מדובר באיום אמיתי, לפני שמגדירים את מצב הממצא לערך INACTIVE, צריך לסלק את האיום ולבצע בדיקה יסודית של האיום שזוהה, של היקף הפריצה ושל כל הממצאים והבעיות הקשורים.

כדי להשתיק ממצא או לשנות את הסטטוס שלו, אפשר לעיין בנושאים הבאים:

• השתקת ממצאים
• שינוי המצב של ממצא

תיקון פגיעויות קשורות

‫

כדי למנוע הישנות של איומים, כדאי לבדוק ולתקן את הממצאים שקשורים לפגיעות ולהגדרות שגויות.

כדי למצוא ממצאים שקשורים לבעיה, פועלים לפי השלבים הבאים:

1. נכנסים לדף Findings ב-Security Command Center במסוף Google Cloud .

   כניסה לדף Findings

2. בודקים את הממצא לגבי האיום ומעתיקים את הערך של מאפיין שסביר להניח שיופיע בכל ממצא שקשור לנקודת חולשה או להגדרות שגויות, כמו כתובת האימייל של הישות המורשית או השם של המשאב שהושפע.

3. בדף ממצאים, פותחים את עורך השאילתות בלחיצה על עריכת השאילתה.

4. לוחצים על הוספת מסנן. נפתח התפריט בחירת מסנן.

5. ברשימת קטגוריות הסינון בצד ימין של התפריט, בוחרים את הקטגוריה שמכילה את המאפיין שציינתם בממצא האיום.

   לדוגמה, אם רשמתם את השם המלא של המשאב שהושפע, בוחרים באפשרות משאב. סוגי המאפיינים של הקטגוריה Resource מוצגים בעמודה שמשמאל, כולל המאפיין Full name.

6. מתוך המאפיינים שמוצגים, בוחרים את סוג המאפיין שציינתם בממצא האיום. משמאל נפתחת חלונית חיפוש של ערכי מאפיינים, שבה מוצגים כל הערכים שנמצאו של סוג המאפיין שנבחר.

7. בשדה Filter (סינון), מדביקים את ערך המאפיין שהעתקתם מממצא האיום. רשימת הערכים שמוצגת מתעדכנת ומוצגים בה רק הערכים שתואמים לערך שהדבקנו.

8. ברשימת הערכים שמוצגת, בוחרים ערך אחד או יותר ולוחצים על החלה. החלונית Findings query results מתעדכנת כך שיוצגו בה רק הממצאים התואמים.

9. אם יש הרבה ממצאים בתוצאות, אפשר לסנן אותם באמצעות בחירת מסננים נוספים בחלונית מסננים מהירים.

   לדוגמה, כדי להציג רק את הממצאים בכיתות Vulnerability ו-Misconfiguration שמכילים את ערכי המאפיינים שנבחרו, עוברים לקטע Finding class בחלונית Quick filters ובוחרים באפשרויות Vulnerability ו-Misconfiguration.

טיפול באיומים

‫

בניגוד לממצאי נקודות חולשה ולממצאי הגדרות שגויות, Security Command Center לא מספק הנחיות רשמיות לתיקון ממצאי איומים. ההנחיות הלא רשמיות ש-Security Command Center מספק לא מבטיחות יעילות נגד איומים קודמים, נוכחיים או עתידיים.

הגדרות שגויות והפרות של דרישות התאימות מצביעות על נקודות חולשה במשאבים שאפשר לנצל. בדרך כלל יש תיקונים ידועים לבעיות בהגדרות, כמו הפעלת חומת אש או החלפת מפתח הצפנה.

איומים שונים מפגיעויות בכך שהם דינמיים ומצביעים על ניצול פעיל אפשרי של פגיעות באחד או יותר מהמשאבים. יכול להיות שהמלצה לתיקון לא תהיה יעילה בהגנה על המשאבים, כי יכול להיות שלא ידוע מהן השיטות המדויקות ששימשו לניצול הפגיעות.

לדוגמה, ממצא Added Binary Executed מציין שהופעל קובץ בינארי לא מורשה במאגר. המלצה בסיסית לתיקון עשויה להיות להכניס את הקונטיינר להסגר ולמחוק את הקובץ הבינארי, אבל יכול להיות שזה לא יפתור את הגורם הבסיסי שאיפשר לתוקף גישה להרצת הקובץ הבינארי. כדי לתקן את ניצול הפרצה, צריך לגלות איך קובץ אימג' של קונטיינר נפגם. כדי לקבוע אם הקובץ נוסף דרך העברה שהוגדרה בצורה שגויה או באמצעים אחרים, צריך לבצע בדיקה יסודית. יכול להיות שיהיה צורך שאנליסט עם ידע ברמה של מומחה במערכת שלכם יבדוק אותה כדי לזהות נקודות חולשה.

גורמים זדוניים תוקפים משאבים בטכניקות שונות, ולכן תיקון של ניצול לרעה ספציפי לא בהכרח יהיה יעיל נגד וריאציות של אותה התקפה. לדוגמה, בתגובה לממצא של Brute Force: SSH, אפשר להוריד את רמות ההרשאה של חלק מחשבונות המשתמשים כדי להגביל את הגישה למשאבים. עם זאת, סיסמאות חלשות עדיין יכולות לספק נתיב לתקיפה.

מגוון וקטורי התקיפה מקשה על מתן שלבים לתיקון שפועלים בכל המצבים. התפקיד של Security Command Center בתוכנית אבטחת הענן שלכם הוא לזהות משאבים מושפעים בזמן אמת כמעט, להסביר אילו איומים קיימים ולספק ראיות והקשר שיעזרו לכם בחקירות. עם זאת, צוות האבטחה שלכם צריך להשתמש במידע המקיף בתוצאות של Security Command Center כדי לקבוע את הדרכים הטובות ביותר לפתור בעיות ולאבטח משאבים מפני מתקפות עתידיות.

המאמרים הבאים

• זיהוי איומים ב-Security Command Center
• אינדקס ממצאי האיומים
• איומים קשורים (תצוגה מקדימה)