In diesem Dokument werden Security Command Center-Funktionen beschrieben, mit denen Sie Bedrohungen für Ihre Cloud-Umgebung erkennen und untersuchen können.
Architekturübersicht
Security Command Center bietet Bedrohungserkennung durch einen mehrschichtigen Ansatz, um Sicherheitslücken in Ihrer Umgebung zu schließen. Logbasierte, agentlose und Laufzeitdetektoren überwachen Ihre Cloud-Ressourcen und erkennen potenziell schädliche Aktivitäten nahezu in Echtzeit. Diese Detektoren melden diese Vorfälle als Ergebnisse mit zugewiesenen Schweregraden.
Security Command Center stellt die Ergebnisse zu Bedrohungen auf einer zentralen Plattform zusammen mit anderen Sicherheitsergebnissen bereit, um Ihnen einen Überblick über Ihren allgemeinen Sicherheitsstatus zu geben. Um Ihnen bei der Priorisierung der Ergebnisse zu helfen, gruppiert Security Command Center alle eng verwandten Bedrohungen in Problemen mit korrelierten Bedrohungen.
Das folgende Diagramm veranschaulicht den Prozess der Bedrohungserkennung von Security Command Center.
Ebenen der Bedrohungserkennung
Security Command Center unterteilt die Bedrohungserkennung in drei Hauptebenen, um Lücken in Ihrem Sicherheitsstatus zu schließen: logbasierte Erkennung, agentlose Erkennung, und Laufzeiterkennung.
Logbasierte Erkennung
Security Command Center kann Logstreams für Ihre Organisation oder Projekte kontinuierlich überwachen und analysieren, um verdächtige Muster, bekannte Kompromittierungsindikatoren (Indicators of Compromise, IoCs) und sensible Aktionen zu erkennen.
Event Threat Detection und Sensitive Actions Service bieten logbasierte Erkennung.
Logbasierte Erkennung von Bedrohungen
Event Threat Detection kann Angriffe auf verschiedene Google Cloud Dienste und Ressourcenkategorien erkennen, einschließlich identitätsbasierter Angriffe und unbefugter Dienstnutzung. Event Threat Detection überwacht Folgendes:
Den Cloud Logging-Stream für Ihre Organisation und Projekte, z. B. Einträge für API-Aufrufe und Aktionen, mit denen die Konfiguration oder Metadaten der Ressourcen erstellt, gelesen oder geändert werden. Beispiele:
- Cloud-Audit-Logs (Administratoraktivitätslogs, Datenzugriffslogs und Systemereignislogs)
- VPC-Flusslogs
- Cloud DNS-Logs
- Grundlegende Logquellen
Audit-Logs für Google Workspace, in denen Nutzeranmeldungen in Ihrer Domain und Aktionen in der Google Workspace Admin-Konsole erfasst werden.
Eine vollständige Liste der Event Threat Detection-Detektoren und der Logs, die sie analysieren, finden Sie unter Event Threat Detection Regeln.
Möglicherweise müssen Sie die Erfassung bestimmter Logs aktivieren, wenn dies von Ihrer Organisation gefordert wird. Weitere Informationen finden Sie unter Logtypen und Aktivierungs anforderungen.
Logbasierte Erkennung sensibler Aktionen
Sensitive Actions Service überwacht Audit-Logs zur Administratoraktivität , um sensible Aktionen zu erkennen, die Ihrem Unternehmen schaden könnten , wenn sie von einem böswilligen Akteur ausgeführt werden. Eine vollständige Liste der Sensitive Actions Service-Detektoren finden Sie unter Ergebnisse des Sensitive Actions Service finden.
Agentlose Erkennung
Bei der agentlosen Erkennung werden Ihre Compute Engine-VMs vom Hypervisor aus gescannt, um schädliche Anwendungen zu identifizieren, die auf Ihren VM-Instanzen ausgeführt werden, z. B. Kryptowährung-Mining-Tools und Rootkits im Kernel-Modus.
Die agentlose Erkennung wird von außerhalb der Gast-VM-Instanz ausgeführt und erfordert keine Gast-Agents, spezielle Gastbetriebssystemkonfigurationen oder Netzwerkverbindungen innerhalb des Gastsystems. Sie müssen keine Software auf einer Flotte von VMs installieren, verwalten oder aktualisieren. Da die agentenlose Erkennung außerhalb der VM-Instanz ausgeführt wird, bleibt sie für Malware, die sich in der VM befindet, nicht erkennbar und verbraucht keine CPU-Zyklen oder Arbeitsspeicher.
Virtual Machine Threat Detection bietet agentlose Erkennung. Eine vollständige Liste der VM Threat Detection-Detektoren finden Sie unter Ergebnisse von Virtual Machine Threat Detection .
Laufzeiterkennung
Die Laufzeiterkennung befasst sich mit Bedrohungen, die nach der Bereitstellung in dynamischen Umgebungen auftreten. Sie überwacht und bewertet kontinuierlich Aktivitäten, Änderungen und Fernzugriffsversuche in laufenden Containern und serverlosen Anwendungen, um häufige Laufzeitangriffe zu erkennen. Beispiele für diese Angriffe sind Reverse Shells, Container-Escapes und die Ausführung schädlicher Programme.
Die folgenden Dienste bieten Laufzeiterkennung:
- Container Threat Detection verwendet Instrumentierung auf Kernelebene, um das Verhalten im Gast Kernel von GKE-Knoten zu erfassen und zu bewerten.
- Cloud Run Threat Detection überwacht unterstützte Cloud Run-Ressourcen.
- Agent Platform Threat Detection (Vorabversion) überwacht Agent-basierte Arbeitslasten, die in der Agent Runtime bereitgestellt werden.
Ressourcenkategorie und Erkennungsmatrix
In der folgenden Tabelle sind die Kategorien von Ressourcen aufgeführt, die Security Command Center überwachen kann, sowie Beispiele für Erkennungen und die verfügbaren Erkennungsebenen.
| Ressourcenkategorie | Beispiele für erkannte Bedrohungen | Erkennungsebenen |
|---|---|---|
| KI | Von Agent initiiertes Daten-Exfiltration, schädliches Skript in einer Agent-basierten Arbeitslast ausgeführt | Laufzeit, logbasiert |
| Amazon EC2 | Schädliche Datei auf dem Laufwerk | Ohne Agenten |
| Backup und DR | Unbefugtes Löschen von Sicherungen und DR-Hosts | Logbasiert |
| BigQuery | Daten-Exfiltration | Logbasiert |
| Cloud Run | Reverse Shells, Ausführung von Aufklärungstools, Verwendung von Kryptomining Befehlen | Laufzeit, logbasiert |
| Cloud Storage | Änderungen an der IP-Filterungskonfiguration für einen Bucket | Logbasiert |
| Compute Engine | Kryptomining, Rootkits im Kernel-Modus, geänderte Persistenz des Bootlaufwerks | Agentenlos, protokollbasiert |
| Datenbank | Daten-Exfiltration, Superuser-Änderungen an Nutzertabellen | Logbasiert |
| Google Kubernetes Engine | Ausführung schädlicher Binärdateien, Container-Escape, Start privilegierter Container | Laufzeit, logbasiert |
| Google Workspace | Passwortlecks, verdächtige Anmeldemuster | Logbasiert |
| Identity and Access Management | Anomale Rollenzuweisungen, sensible Richtlinienänderungen, Zugriff über Tor | Logbasiert |
| Netzwerk | DNS-Abfragen für Malware, Verbindungen zu bekannten Kryptomining-IP Adressen | Logbasiert |
Quellen für Threat Intelligence
Security Command Center verwendet Bedrohungsdaten von Google Threat Intelligence: einer Suite mit hochwertigen Bedrohungsdaten, die Milliarden von Signalen aus allen globalen Produkten und Diensten von Google erfasst. Google Threat Intelligence identifiziert bekannte schädliche Indikatoren wie schädliche Signaturen, Dateihashes und Adressen und bietet folgende Vorteile:
- Genauigkeit und Präzision:Minimiert falsch positive Ergebnisse, indem es sich auf aktive und bestätigte Bedrohungen konzentriert.
- Kontinuierliche Verbesserung:Nutzt Bedrohungsdaten aus Incident Response-Untersuchungen in der Praxis, globale Telemetriedaten, interne Bedrohungsdaten und Crowdsourcing-Kontext zu potenziell schädlichen Dateien, URLs und Domains, um die Abdeckung kontinuierlich zu verbessern. Um die Erfassung von Bedrohungsdaten zu verbessern, werden auch verschiedene Techniken verwendet, z. B. Ködersysteme (auch Honeypots genannt).
Priorisierung von Bedrohungen
Damit Sie die kritischsten Bedrohungen erkennen können, die sofortige Aufmerksamkeit erfordern, weist Security Command Center jedem Ergebnis einen Schweregrad zu.
Darüber hinaus werden mit der Funktion „Korrelierte Bedrohungen “ mehrere zusammengehörige Ergebnisse zu einem einzigen Problem zusammengefasst, um die Erkennung von Aktivitäten nach der Ausnutzung mit höherer Zuverlässigkeit zu ermöglichen. Die Funktion „Korrelierte Bedrohungen“ visualisiert auch die Angriffskette und zeigt, wie Ereignisse zusammenhängen, um eine vollständige Angriffsschilderung zu erstellen. Diese Angriffskette hilft Ihnen, die Schritte des Angreifers zu antizipieren, kompromittierte Assets zu identifizieren, kritische Bedrohungen hervorzuheben, klare Empfehlungen für die Reaktion zu erhalten und Ihre Reaktion zu beschleunigen.
Integrierte Bedrohungserkennungsdienste
In diesem Abschnitt finden Sie eine Zusammenfassung der integrierten Erkennungsdienste in Security Command Center. Diese Dienste verwenden verschiedene Scantechniken und arbeiten auf verschiedenen Ebenen, um Bedrohungen in Ihrer Cloud-Umgebung zu erkennen.
Agent Platform Threat Detection (Vorabversion) überwacht den Status von KI-Agents, die in der Agent Runtime bereitgestellt werden, um häufige Laufzeitangriffe zu erkennen. Verfügbar für die Dienststufen „Premium“ und „Enterprise“.
Die Anomalieerkennung verwendet Verhaltenssignale von außerhalb Ihres Systems, um Sicherheitsanomalien in Ihren Dienstkonten zu erkennen, z. B. potenziell kompromittierte Anmeldedaten. Verfügbar für die Dienststufen „Standard-Legacy“, „Standard“, „Premium“ und „Enterprise“.
Cloud Run Threat Detection überwacht den Status unterstützter Cloud Run-Ressourcen, um häufige Laufzeitangriffe zu erkennen. Verfügbar für die Dienststufen „Premium“ und „Enterprise“.
Container Threat Detection generiert Ergebnisse, indem das Low-Level-Verhalten im Gast-Kernel von Containern erfasst und analysiert wird. Verfügbar für die Dienststufen „Premium“ und „Enterprise“.
Event Threat Detection liefert Sicherheitsergebnisse, indem Ereignisse in Ihren Cloud Logging-Log streams mit bekannten Kompromittierungsindikatoren (IoCs) abgeglichen werden, bekannte schädliche Techniken identifiziert und Verhaltensanomalien erkannt werden. Verfügbar für die Dienststufen „Premium“ und „Enterprise“.
Sensitive Actions Service erkennt wenn in Ihrer Google Cloud Organisation, in Ordnern und Projekten Aktionen ausgeführt werden, die Ihrem Unternehmen schaden könnten, wenn sie von einem böswilligen Akteur ausgeführt werden. Verfügbar für die Dienststufen „Standard-Legacy“, „Standard“, „Premium“ und „Enterprise“.
Virtual Machine Threat Detection scannt Compute Engine-Projekte und VM-Instanzen, um potenziell schädliche Anwendungen zu erkennen, die in VMs ausgeführt werden, z. B. Kryptowährung- Mining-Software und Rootkits im Kernel-Modus. Verfügbar für die Dienststufen „Premium“ und „Enterprise“.
Diese Erkennungsdienste generieren Ergebnisse in Security Command Center. Für die Dienststufen „Premium“ und „Enterprise“ (Aktivierung auf Organisationsebene erforderlich) können Sie auch kontinuierliche Exporte nach Cloud Logging konfigurieren.
Bedrohungserkennung aktivieren
Für die Dienststufen „Premium“ und „Enterprise“ sind viele Bedrohungserkennungsdienste standardmäßig aktiviert. Informationen zum Aktivieren oder Deaktivieren eines integrierten Dienstes finden Sie unter Security Command Center Dienste konfigurieren.
Möglicherweise müssen Sie die Erfassung bestimmter Logs aktivieren, wenn dies von Ihrer Organisation gefordert wird. Weitere Informationen finden Sie unter Logtypen und Aktivierungs anforderungen.
Mit Bedrohungserkennungsdiensten arbeiten
Informationen zur Verwendung der integrierten Bedrohungserkennungsdienste finden Sie unter:
- Agent Platform Threat Detection verwenden
- Cloud Run Threat Detection verwenden
- Container Threat Detection verwenden
- Event Threat Detection verwenden
- Sensitive Actions Service verwenden
- Virtual Machine Threat Detection verwenden
Feedback geben
Informationen zum Senden von Feedback zu den Bedrohungserkennungsfunktionen von Security Command Center, siehe Feedback über die Google Cloud Console senden.
Nächste Schritte
- Vollständige Liste aller Arten von Ergebnissen zu Bedrohungen ansehen.
- Ergebnisse zu Bedrohungen untersuchen und darauf reagieren.