In diesem Dokument werden Security Command Center-Funktionen beschrieben, mit denen Sie Bedrohungen für Ihre Cloud-Umgebung erkennen und untersuchen können.
Architekturübersicht
Security Command Center bietet Bedrohungserkennung durch einen mehrschichtigen Ansatz, um Sicherheitslücken in Ihrer Umgebung zu schließen. Logbasierte, agentenlose und Laufzeit-Detectors überwachen Ihre Cloud-Ressourcen und erkennen potenziell schädliche Aktivitäten nahezu in Echtzeit. Diese Detektoren melden diese Vorfälle als Ergebnisse mit zugewiesenen Schweregraden.
Security Command Center stellt die Bedrohungsergebnisse zusammen mit anderen Sicherheitsergebnissen auf einer zentralen Plattform bereit, damit Sie einen Überblick über Ihren allgemeinen Sicherheitsstatus erhalten. Damit Sie die Ergebnisse besser priorisieren können, werden eng verwandte Bedrohungen in Security Command Center in Problemen vom Typ „Zusammenhängende Bedrohungen“ gruppiert.
Das folgende Diagramm veranschaulicht den Prozess der Bedrohungserkennung von Security Command Center.
Ebenen der Bedrohungserkennung
Security Command Center unterteilt die Erkennung von Bedrohungen in drei primäre Ebenen, um Lücken in Ihrem Sicherheitsstatus zu schließen: logbasierte Erkennung, agentenlose Erkennung und Laufzeiterkennung.
Logbasierte Erkennung
Security Command Center kann Logstreams für Ihre Organisation oder Projekte kontinuierlich überwachen und analysieren, um verdächtige Muster, bekannte Kompromittierungsindikatoren (Indicators of Compromise, IoCs) und sensible Aktionen zu erkennen.
Event Threat Detection und Sensitive Actions Service bieten eine logbasierte Erkennung.
Logbasierte Erkennung von Bedrohungen
Mit Event Threat Detection können Angriffe in verschiedenen Google Cloud Diensten und Ressourcenkategorien erkannt werden, darunter identitätsbasierte Angriffe und die unbefugte Nutzung von Diensten. Event Threat Detection überwacht Folgendes:
Der Cloud Logging-Stream für Ihre Organisation und Projekte, z. B. Einträge für API-Aufrufe und Aktionen, mit denen die Konfiguration oder Metadaten der Ressourcen erstellt, gelesen oder geändert werden. Beispiele:
- Cloud-Audit-Logs (Administratoraktivitäts-, Datenzugriffs- und Systemereignislogs)
- VPC-Flusslogs
- Cloud DNS-Logs
- Grundlegende Logquellen
Audit-Logs für Google Workspace, in denen Nutzeranmeldungen in Ihrer Domain und Aktionen in der Admin-Konsole von Google Workspace erfasst werden.
Eine vollständige Liste der Event Threat Detection-Detektoren und der Logs, die sie analysieren, finden Sie unter Event Threat Detection-Regeln.
Möglicherweise müssen Sie die Erfassung bestimmter Logs aktivieren, wenn dies von Ihrer Organisation gefordert wird. Weitere Informationen finden Sie unter Logtypen und Aktivierungsanforderungen.
Logbasierte Erkennung sensibler Aktionen
Der Sensitive Actions Service überwacht Audit-Logs zur Administratoraktivität, um sensible Aktionen zu erkennen, die Ihrem Unternehmen schaden könnten, wenn sie von einem böswilligen Akteur ausgeführt werden. Eine vollständige Liste der Detektoren des Sensitive Actions Service finden Sie unter Ergebnisse des Sensitive Actions Service.
Erkennung ohne Agent
Bei der agentenlosen Erkennung werden Ihre Compute Engine-VMs vom Hypervisor aus gescannt, um schädliche Anwendungen zu erkennen, die auf Ihren VM-Instanzen ausgeführt werden, z. B. Tools zum Mining von Kryptowährungen und Kernel-Mode-Rootkits.
Die agentenlose Erkennung erfolgt von außerhalb der Gast-VM-Instanz und erfordert keine Gast-Agents, spezielle Gastbetriebssystemkonfigurationen oder Netzwerkverbindungen innerhalb des Gastbetriebssystems. Sie müssen keine Software auf einer Flotte von VMs installieren, verwalten oder aktualisieren. Da die agentenlose Erkennung außerhalb der VM-Instanz erfolgt, bleibt sie für Malware, die sich in der VM befindet, unentdeckt und verbraucht keine CPU-Zyklen oder Arbeitsspeicher.
Virtual Machine Threat Detection bietet eine agentenlose Erkennung. Eine vollständige Liste der VM Threat Detection-Detektoren finden Sie unter Virtual Machine Threat Detection-Ergebnisse.
Laufzeiterkennung
Die Laufzeiterkennung befasst sich mit Bedrohungen, die nach der Bereitstellung in dynamischen Umgebungen auftreten. Der Dienst überwacht und bewertet kontinuierlich Aktivitäten, Änderungen und Fernzugriffsversuche in laufenden Containern und serverlosen Anwendungen, um häufige Laufzeitangriffe zu erkennen. Beispiele für solche Angriffe sind Reverse Shells, Container-Escapes und die Ausführung schädlicher Programme.
Die folgenden Dienste bieten eine Laufzeiterkennung:
- Container Threat Detection verwendet Instrumentierung auf Kernelebene, um das Verhalten im Gast-Kernel von GKE-Knoten zu erfassen und zu bewerten.
- Cloud Run Threat Detection überwacht unterstützte Cloud Run-Ressourcen.
- Agent Engine Threat Detection (Vorabversion) überwacht Agent-Arbeitslasten, die in Vertex AI Agent Engine bereitgestellt werden.
Ressourcenkategorie und Erkennungsmatrix
In der folgenden Tabelle sind die Kategorien von Ressourcen aufgeführt, die von Security Command Center überwacht werden können, sowie Beispiele für Erkennungen und die verfügbaren Erkennungsebenen.
| Ressourcenkategorie | Beispiele für erkannte Bedrohungen | Erkennungsebenen |
|---|---|---|
| KI | Von einem Agent initiierte Daten-Exfiltration, Ausführung eines schädlichen Skripts in einer Arbeitslast auf Agent-Ebene | Laufzeit, logbasiert |
| Amazon EC2 | Schädliche Datei auf dem Laufwerk | Ohne Agent |
| Backup und DR | Unbefugtes Löschen von Sicherungen und DR-Hosts | Logbasiert |
| BigQuery | Daten-Exfiltration | Logbasiert |
| Cloud Run | Reverse Shells, Ausführung von Aufklärungstools, Verwendung von Befehlen für das Kryptomining | Laufzeit, logbasiert |
| Cloud Storage | Änderungen an der IP-Filterungskonfiguration für einen Bucket | Logbasiert |
| Compute Engine | Kryptomining, Kernel-Mode-Rootkits, modifizierte Persistenz des Bootlaufwerks | Ohne Agent, logbasiert |
| Datenbank | Daten-Exfiltration, Superuser-Änderungen an Nutzertabellen | Logbasiert |
| Google Kubernetes Engine | Ausführung schädlicher Binärdateien, Container-Escape, Start privilegierter Container | Laufzeit, logbasiert |
| Google Workspace | Passwortlecks, verdächtige Anmeldemuster | Logbasiert |
| Identity and Access Management | Anomale Rollenzuweisungen, sensible Richtlinienänderungen, Zugriff über Tor | Logbasiert |
| Netzwerk | Malware-DNS-Abfragen, Verbindungen zu bekannten Kryptomining-IP-Adressen | Logbasiert |
Quellen für Bedrohungsinformationen
Security Command Center verwendet Informationen zu Bedrohungen von Google Threat Intelligence: einer Suite mit hoher Genauigkeit, die Milliarden von Signalen aus den globalen Produkten und Diensten von Google erfasst. Google Threat Intelligence erkennt bekannte schädliche Indikatoren wie schädliche Signaturen, Dateihashes und Adressen und bietet die folgenden Vorteile:
- Fidelity und Precision:Falsch positive Ergebnisse werden minimiert, indem der Fokus auf aktive und bestätigte Bedrohungen gelegt wird.
- Kontinuierliche Verbesserung:Es werden Informationen aus Untersuchungen zur Reaktion auf Vorfälle in der Praxis, globale Telemetrie, interne Informationen und Crowdsourcing-Kontext zu potenziell schädlichen Dateien, URLs und Domains verwendet, um die Abdeckung kontinuierlich zu verbessern. Um die Informationsbeschaffung zu verbessern, werden auch verschiedene Techniken wie Ködersysteme (auch als Honeypots bezeichnet) eingesetzt.
Priorisierung von Bedrohungen
Damit Sie die kritischsten Bedrohungen, die sofortige Aufmerksamkeit erfordern, leichter erkennen können, weist Security Command Center jedem Ergebnis einen Schweregrad zu.
Außerdem werden mit der Funktion Correlated Threats (Korrelierte Bedrohungen) mehrere zusammenhängende Ergebnisse in einem einzigen Problem zusammengefasst, um die Erkennung von Aktivitäten nach einem Exploit zu verbessern. Die Funktion „Correlated Threats“ visualisiert auch die Angriffskette und zeigt, wie Ereignisse zusammenhängen und eine vollständige Angriffsgeschichte bilden. Diese Angriffskette hilft Ihnen, die Schritte von Angreifern vorherzusehen, kompromittierte Assets zu identifizieren, kritische Bedrohungen hervorzuheben, klare Empfehlungen für Reaktionen zu erhalten und Ihre Reaktion zu beschleunigen.
Integrierte Dienste zur Bedrohungserkennung
In diesem Abschnitt finden Sie eine Zusammenfassung der integrierten Erkennungsdienste in Security Command Center. Diese Dienste verwenden verschiedene Scanverfahren und arbeiten auf unterschiedlichen Ebenen, um Bedrohungen in Ihrer Cloud-Umgebung zu erkennen.
Agent Engine Threat Detection (Vorschau) überwacht den Status von KI-Agents, die in der Vertex AI Agent Engine-Laufzeit bereitgestellt werden, um häufige Laufzeitangriffe zu erkennen. Verfügbar für Premium- und Enterprise-Dienststufen.
Die Anomalieerkennung verwendet Verhaltenssignale von außerhalb Ihres Systems, um Sicherheitsanomalien in Ihren Dienstkonten zu erkennen, z. B. potenziell gehackte Anmeldedaten. Verfügbar für die Dienststufen „Standard“, „Premium“ und „Enterprise“.
Cloud Run Threat Detection überwacht den Status unterstützter Cloud Run-Ressourcen, um häufige Laufzeitangriffe zu erkennen. Verfügbar für Premium- und Enterprise-Dienststufen.
Container Threat Detection generiert Ergebnisse, indem das Low-Level-Verhalten im Gast-Kernel von Containern erfasst und analysiert wird. Verfügbar für Premium- und Enterprise-Dienststufen.
Event Threat Detection liefert Sicherheitsergebnisse, indem Ereignisse in Ihren Cloud Logging-Logstreams mit bekannten Kompromittierungsindikatoren (IoCs) abgeglichen werden, bekannte schädliche Techniken identifiziert und Verhaltensanomalien erkannt werden. Verfügbar für Premium- und Enterprise-Dienststufen.
Der Sensitive Actions Service erkennt, wenn in Ihrer Google Cloud Organisation, Ihren Ordnern und Projekten Aktionen ausgeführt werden, die Ihrem Unternehmen schaden könnten, wenn sie von einem böswilligen Akteur ausgeführt werden. Verfügbar für die Dienststufen „Standard“, „Premium“ und „Enterprise“.
Virtual Machine Threat Detection scannt Compute Engine-Projekte und VM-Instanzen, um potenziell schädliche Anwendungen zu erkennen, die in VMs ausgeführt werden, z. B. Kryptowährung-Mining-Software und Kernel-Mode-Rootkits. Verfügbar für Premium- und Enterprise-Dienststufen.
Diese Erkennungsdienste generieren Ergebnisse in Security Command Center. Bei den Service-Tiers Premium und Enterprise (erfordert Aktivierung auf Organisationsebene) können Sie auch kontinuierliche Exporte nach Cloud Logging konfigurieren.
Bedrohungserkennung aktivieren
In den Service-Stufen Premium und Enterprise sind viele Dienste zur Bedrohungserkennung standardmäßig aktiviert. Informationen zum Aktivieren oder Deaktivieren eines integrierten Dienstes finden Sie unter Security Command Center-Dienste konfigurieren.
Möglicherweise müssen Sie die Erfassung bestimmter Logs aktivieren, wenn dies von Ihrer Organisation gefordert wird. Weitere Informationen finden Sie unter Logtypen und Aktivierungsanforderungen.
Mit Diensten zur Bedrohungserkennung arbeiten
Weitere Informationen zur Verwendung der integrierten Dienste zur Bedrohungserkennung:
- Agent Engine-Bedrohungserkennung verwenden
- Cloud Run Threat Detection verwenden
- Container Threat Detection verwenden
- Event Threat Detection verwenden
- Sensitive Actions Service verwenden
- Bedrohungserkennung für virtuelle Maschinen verwenden
Feedback geben
Informationen zum Senden von Feedback zu den Funktionen zur Bedrohungserkennung von Security Command Center finden Sie unter Feedback über dieGoogle Cloud Console senden.
Nächste Schritte
- Vollständige Liste aller Arten von Bedrohungsergebnissen
- Bedrohungsbefund untersuchen und darauf reagieren