Questo documento spiega come esaminare e rispondere ai risultati delle minacce in Security Command Center. Per gestire una minaccia, in genere devi procedere come segue:
- Esamina i dettagli del risultato.
- Consulta le indicazioni disponibili.
- Identifica i rischi correlati nel tuo ambiente.
- Passa all'azione per correggere la minaccia e proteggere le tue risorse.
Prima di iniziare
Per visualizzare o modificare i risultati e i log e modificare Google Cloud le risorse, devi disporre dei ruoli Identity and Access Management (IAM) richiesti. Se riscontri errori di accesso in Security Command Center, chiedi assistenza all'amministratore e consulta Controllo dell'accesso per scoprire di più sui ruoli. Per risolvere gli errori delle risorse, leggi la documentazione dei prodotti interessati.
Esamina il risultato
Per iniziare a esaminare una minaccia, esamina i dettagli forniti da Security Command Center nel risultato.
Per esaminare un risultato di minaccia:
Nella Google Cloud console, vai alla pagina Risultati di Security Command Center.
Se necessario, seleziona il tuo Google Cloud progetto, cartella o organizzazione.
Nella sezione Filtri rapidi, fai clic su un filtro appropriato per visualizzare il risultato di cui hai bisogno nella tabella Risultati della query dei risultati. Ad esempio, se selezioni Event Threat Detection o Container Threat Detection nella sottosezione Nome visualizzato origine, nei risultati vengono visualizzati solo i risultati del servizio selezionato.
La tabella viene compilata con i risultati per l'origine selezionata.
Per visualizzare i dettagli di un risultato specifico, fai clic sul nome del risultato in
Category. Il riquadro dei dettagli del risultato si espande per mostrare un riepilogo dei dettagli del risultato.Per visualizzare la definizione JSON del risultato, fai clic sulla scheda JSON.
I risultati forniscono i nomi e gli identificatori numerici delle risorse coinvolte in un incidente, insieme alle variabili di ambiente e alle proprietà degli asset. Puoi utilizzare queste informazioni per isolare le risorse interessate e determinare l'ambito potenziale di un evento.
Per facilitare l'indagine, i risultati delle minacce contengono anche link alle seguenti risorse esterne:
- Voci del frameworkMITRE ATT&CK. Il framework spiega le tecniche per gli attacchi alle risorse cloud e fornisce indicazioni per la correzione.
VirusTotal, un servizio di proprietà di Alphabet che fornisce il contesto di file, URL, domini, e indirizzi IP potenzialmente dannosi. Se disponibile, il campo Indicatore VirusTotal fornisce un link a VirusTotal per aiutarti a esaminare ulteriormente i potenziali problemi di sicurezza.
VirusTotal è un'offerta con prezzi separati, limiti di utilizzo e funzionalità propri. È tua responsabilità comprendere e rispettare le norme di utilizzo delle API di VirusTotal e i costi associati. Per saperne di più, consulta la documentazione di VirusTotal.
Consulta le indicazioni per l'indagine
Dopo aver esaminato i dettagli del risultato, consulta i consigli per l'indagine e la risposta forniti da Security Command Center.
Security Command Center offre indicazioni informali per aiutarti a esaminare i risultati. Questi risultati identificano attività sospette nel tuo Google Cloud ambiente da parte di attori potenzialmente dannosi. Seguire le indicazioni può aiutarti a capire cosa è successo durante un potenziale attacco e a sviluppare possibili risposte per le risorse interessate.
Per visualizzare i consigli per l'indagine e la risposta per un risultato, individua il risultato nell'indice dei risultati delle minacce.
Puoi anche visualizzare consigli di risposta di alto livello per i seguenti tipi di risultati delle minacce:
- Risultati delle minacce AI
- Risultati delle minacce di Cloud Run
- Risultati delle minacce di Compute Engine
- Risultati delle minacce di Google Kubernetes Engine
- Risultati delle minacce di Google Workspace
- Risultati delle minacce di rete
Esamina le minacce utilizzando la dashboard Minacce
La dashboard Minacce nella pagina Panoramica dei rischi ti aiuta a monitorare, dare la priorità ed esaminare gli eventi potenzialmente dannosi nel tuo Google Cloud ambiente.
Per accedere alla dashboard Minacce:
Nella Google Cloud console, vai alla pagina Minacce di Security Command Center.
Se necessario, seleziona il tuo Google Cloud progetto, cartella o organizzazione.
Puoi utilizzare le seguenti sezioni per identificare e dare la priorità alle indagini sulle minacce:
- Nuove minacce nel tempo: mostra gli eventi potenzialmente dannosi nelle tue risorse in un periodo di tempo specificato. Il periodo di tempo predefinito è di sette giorni. Per modificare il periodo di tempo specificato, utilizza il campo Intervallo di tempo. Questo riquadro ti aiuta a identificare picchi improvvisi nell'attività delle minacce.
- Minacce principali: mostra le seguenti informazioni per aiutarti a identificare
i problemi critici:
- Minacce per gravità: mostra il numero di risultati delle minacce in ogni
livello di gravità (ad esempio,
CRITICAL,HIGH,MEDIUM, oLOW). Se selezioni un livello di gravità, i risultati vengono filtrati in modo che tu possa concentrarti prima sui rischi con la priorità più alta. - Minacce per categoria: mostra il numero di risultati classificati in base a tipi di minacce specifici in tutti i progetti.
- Minacce per progetto: mostra il numero di risultati per ogni progetto nella tua organizzazione. Questa opzione è utile per identificare i progetti che registrano la maggiore attività di minacce.
- Minacce per gravità: mostra il numero di risultati delle minacce in ogni
livello di gravità (ad esempio,
Se fai clic sugli elementi di dati all'interno di questi riquadri, vengono applicati i filtri pertinenti e viene visualizzata la pagina Risultati , dove puoi continuare a esaminare più a fondo i risultati delle minacce specifici.
Identifica i rischi correlati
Per aiutarti a comprendere il contesto di una minaccia e a evitare che si ripresenti, esamina e rispondi ai risultati di vulnerabilità e configurazione errata correlati. Questi risultati potrebbero indicare debolezze di sicurezza che hanno consentito il verificarsi della minaccia o che potrebbero essere sfruttate in futuro.
Per individuare i risultati di vulnerabilità e configurazione errata correlati:
Individua l'attributo del risultato
Nella Google Cloud console, vai alla pagina Risultati di Security Command Center.
Esamina il risultato della minaccia e copia il valore di un attributo che probabilmente verrà visualizzato in qualsiasi risultato di vulnerabilità o configurazione errata correlato, ad esempio l'indirizzo email principale o il nome della risorsa interessata.
Crea il filtro dei risultati
- Nella pagina Risultati, apri l'Editor di query facendo clic su Modifica query.
- Fai clic su Aggiungi filtro. Si apre il menu Seleziona filtro.
Nell'elenco delle categorie di filtri a sinistra del menu, seleziona la categoria che contiene l'attributo che hai annotato nel risultato della minaccia.
Ad esempio, se hai annotato il nome completo della risorsa interessata, seleziona Risorsa. I tipi di attributo della categoria Risorsa vengono visualizzati nella colonna a destra, incluso l'attributo Nome completo.
Tra gli attributi visualizzati, seleziona il tipo di attributo che hai annotato nel risultato della minaccia. A destra si apre un riquadro di ricerca per i valori degli attributi che mostra tutti i valori trovati del tipo di attributo selezionato.
Nel campo Filtro, incolla il valore dell'attributo che hai copiato dal risultato della minaccia. L'elenco dei valori visualizzato viene aggiornato in modo da mostrare solo i valori che corrispondono al valore incollato.
Nell'elenco dei valori visualizzati, seleziona uno o più valori e fai clic su Applica. Il riquadro Risultati della query dei risultati viene aggiornato in modo da mostrare solo i risultati corrispondenti.
Perfeziona i risultati in base alla classe dei risultati
Se nei risultati viene visualizzato un numero elevato di risultati, filtrali selezionando filtri aggiuntivi nel riquadro Filtri rapidi.
Ad esempio, per mostrare solo i risultati della classe Vulnerability e Misconfiguration che contengono i valori degli attributi selezionati, vai alla sezione Classe dei risultati del riquadro Filtri rapidi e seleziona Vulnerability e Misconfiguration.
Rispondi alla minaccia
Dopo aver esaminato il risultato, consultato le indicazioni per l'indagine e identificato i rischi correlati, devi rispondere alla minaccia e gestire il ciclo di vita del risultato in Security Command Center.
Approccio alla correzione dei risultati delle minacce
A differenza dei risultati di vulnerabilità e configurazione errata, Security Command Center non fornisce indicazioni ufficiali per la correzione dei risultati delle minacce. Non è garantito che le indicazioni informali fornite da Security Command Center siano efficaci contro le minacce precedenti, attuali o future.
Le configurazioni errate e le violazioni della conformità identificano le debolezze delle risorse che potrebbero essere sfruttate. In genere, le configurazioni errate hanno correzioni note, come l'attivazione di un firewall o la rotazione di una chiave di crittografia.
Le minacce differiscono dalle vulnerabilità in quanto sono dinamiche e indicano un possibile exploit attivo su una o più risorse. Un consiglio di correzione potrebbe non essere efficace per proteggere le tue risorse perché i metodi esatti utilizzati per ottenere l'exploit potrebbero non essere noti.
Ad esempio, un risultato Added Binary Executed indica che è stato avviato un file binario non autorizzato in un container. Un consiglio di correzione di base potrebbe consigliarti di mettere in quarantena il container ed eliminare il file binario, ma questo potrebbe non risolvere la causa principale sottostante che ha consentito all'aggressore di eseguire il file binario. Per correggere l'exploit, devi scoprire in che modo l'immagine container è stata danneggiata. Per determinare se il file è stato aggiunto tramite una porta configurata in modo errato o con altri mezzi, è necessaria un'indagine approfondita. Un analista con competenze di livello esperto del tuo sistema potrebbe doverlo esaminare per individuare le debolezze.
I malintenzionati attaccano le risorse utilizzando tecniche diverse, quindi l'applicazione di una correzione per un exploit specifico potrebbe non essere efficace contro le varianti di quell'attacco. Ad esempio, in risposta a un risultato Brute Force: SSH, potresti ridurre i livelli di autorizzazione per alcuni account utente per limitare l'accesso alle risorse. Tuttavia, le password deboli potrebbero comunque fornire un percorso di attacco.
L'ampiezza dei vettori di attacco rende difficile fornire passaggi di correzione che funzionino in tutte le situazioni. Il ruolo di Security Command Center nel tuo piano di sicurezza cloud è identificare le risorse interessate quasi in tempo reale, indicarti le minacce che devi affrontare e fornire prove e contesto per aiutarti nelle indagini. Tuttavia, il personale addetto alla sicurezza deve utilizzare le informazioni dettagliate nei risultati di Security Command Center per determinare i modi migliori per correggere i problemi e proteggere le risorse da attacchi futuri.
Disattiva o disattiva un risultato
Dopo aver risolto un problema che ha attivato un risultato di minaccia, Security Command Center non imposta automaticamente lo stato del risultato su INACTIVE. Lo stato di
un risultato di minaccia rimane ACTIVE a meno che tu non lo modifiche manualmente in INACTIVE.
Per un falso positivo, valuta la possibilità di lasciare lo stato del risultato come ACTIVE e
invece disattivare il risultato.
Per i falsi positivi persistenti o ricorrenti, crea una regola di disattivazione. L'impostazione di una regola di disattivazione può ridurre il numero di risultati che devi gestire, il che semplifica l'identificazione di una vera minaccia quando si verifica.
Per una vera minaccia, prima di impostare lo stato del risultato su INACTIVE, elimina la minaccia e completa un'indagine approfondita sulla minaccia rilevata, sull'entità dell'intrusione e su eventuali altri risultati e problemi correlati.
Passaggi successivi
- Rilevamento delle minacce in Security Command Center
- Indice dei risultati delle minacce
- Minacce correlate (anteprima)