Ce document décrit les fonctionnalités de Security Command Center qui vous aident à détecter les menaces pesant sur votre environnement cloud et à les examiner.
Présentation de l'architecture
Security Command Center fournit une détection des menaces grâce à une approche multicouche pour combler les failles de sécurité dans votre environnement. Les détecteurs basés sur les journaux, sans agent et d'exécution surveillent vos ressources cloud et détectent les activités potentiellement malveillantes en quasi-temps réel. Ces détecteurs signalent ces incidents sous forme de résultats avec des niveaux de gravité attribués.
Security Command Center fournit les résultats de détection des menaces sur une plate-forme centrale, ainsi que d'autres résultats de sécurité, pour vous donner une vue d'ensemble de votre stratégie de sécurité globale. Pour vous aider à trier les résultats, Security Command Center regroupe les menaces étroitement liées dans des problèmes de menaces corrélées.
Le schéma suivant illustre le processus de détection des menaces de Security Command Center.
Niveaux de détection des menaces
Pour vous aider à combler les lacunes de votre stratégie de sécurité, Security Command Center organise la détection des menaces en trois couches principales : la détection basée sur les journaux, la détection sans agent et la détection de l'exécution.
Détection basée sur les journaux
Security Command Center peut surveiller et analyser en permanence les flux de journaux de votre organisation ou de vos projets pour identifier les schémas suspects, les indicateurs de compromission (IoC) connus et les actions sensibles.
Event Threat Detection et le Service d'actions sensibles fournissent une détection basée sur les journaux.
Détection des menaces basée sur les journaux
Event Threat Detection peut détecter les attaques dans différents services Google Cloud et catégories de ressources, y compris les attaques basées sur l'identité et l'utilisation non autorisée des services. Event Threat Detection surveille les éléments suivants :
Le flux Cloud Logging pour votre organisation et vos projets, comme les entrées d'appels d'API et d'actions qui créent, lisent ou modifient la configuration ou les métadonnées des ressources. Voici quelques exemples :
- Journaux d'audit Cloud (journaux des activités d'administration, d'accès aux données et des événements système)
- Journaux de flux VPC
- Journaux Cloud DNS
- Sources de journaux de base
Les journaux d'audit pour Google Workspace, qui suivent les connexions des utilisateurs à votre domaine et les actions effectuées dans la console d'administration Google Workspace.
Pour obtenir la liste complète des détecteurs Event Threat Detection et des journaux qu'ils analysent, consultez Règles Event Threat Detection.
Vous devrez peut-être activer la collecte de journaux spécifiques si votre organisation l'exige. Pour en savoir plus, consultez Types de journaux et conditions d'activation.
Détection des actions sensibles basée sur les journaux
Le service des actions sensibles surveille les journaux d'audit des activités d'administration pour détecter les actions sensibles qui pourraient nuire à votre entreprise si elles étaient effectuées par une personne malveillante. Pour obtenir la liste complète des détecteurs du service Actions sensibles, consultez Résultats du service Actions sensibles.
Détection sans agent
La détection sans agent analyse vos machines virtuelles Compute Engine à partir de l'hyperviseur pour identifier les applications malveillantes exécutées sur vos instances de machines virtuelles (VM), telles que les outils de minage de cryptomonnaie et les rootkits en mode noyau.
La détection sans agent fonctionne en dehors de l'instance de VM invitée et ne nécessite pas d'agents invités, de configurations spéciales du système d'exploitation invité ni de connectivité réseau au sein de l'invité. Vous n'avez pas besoin d'installer, de gérer ni de mettre à jour de logiciel dans un parc de VM. Étant donné que la détection sans agent fonctionne en dehors de l'instance de VM, elle reste indétectable pour les logiciels malveillants résidant dans la VM et ne consomme pas de cycles de processeur ni de mémoire.
Virtual Machine Threat Detection fournit une détection sans agent. Pour obtenir la liste complète des détecteurs VM Threat Detection, consultez Résultats de Virtual Machine Threat Detection.
Détection de l'environnement d'exécution
La détection au moment de l'exécution permet de faire face aux menaces qui émergent après le déploiement dans des environnements dynamiques. Il surveille et évalue en permanence l'activité, les modifications et les tentatives d'accès à distance dans les conteneurs et les applications sans serveur en cours d'exécution pour identifier les attaques d'exécution courantes. Il peut s'agir, par exemple, de shells inversés, d'échappements de conteneurs et de l'exécution de programmes malveillants.
Les services suivants fournissent une détection de l'exécution :
- Container Threat Detection utilise une instrumentation au niveau du noyau pour collecter et évaluer le comportement dans le noyau invité des nœuds GKE.
- Détection des menaces Cloud Run surveille les ressources Cloud Run compatibles.
- La détection des menaces Agent Engine (preview) surveille les charges de travail agentiques déployées sur Vertex AI Agent Engine.
Catégorie de ressource et matrice de détection
Le tableau suivant présente les catégories de ressources que Security Command Center peut surveiller, des exemples de détections et les couches de détection disponibles.
| Catégorie de ressource | Exemples de menaces détectées | Couches de détection |
|---|---|---|
| IA | Exfiltration de données initiée par un agent, script malveillant exécuté dans une charge de travail agentique | Exécution, basée sur les journaux |
| Amazon EC2 | Fichier malveillant sur le disque | Sans agent |
| Backup and DR | Suppression non autorisée de sauvegardes et d'hôtes de reprise après sinistre | Basé sur le journal |
| BigQuery | Exfiltration de données | Basé sur le journal |
| Cloud Run | Shells inversés, exécution d'outils de reconnaissance, utilisation de commandes de minage de cryptomonnaie | Exécution, basée sur les journaux |
| Cloud Storage | Modifications apportées à la configuration du filtrage par adresse IP pour un bucket | Basé sur le journal |
| Compute Engine | Minage de cryptomonnaie, rootkits en mode kernel, persistance de disque de démarrage modifié | Sans agent, basé sur les journaux |
| Database (Base de données) | Exfiltration de données, modifications apportées par le super-utilisateur aux tables utilisateur | Basé sur le journal |
| Google Kubernetes Engine | Exécution de binaires malveillants, échappement de conteneur, lancement de conteneurs privilégiés | Exécution, basée sur les journaux |
| Google Workspace | Fuites de mots de passe, schémas de connexion suspects | Basé sur le journal |
| Identity and Access Management | Attribution anormale de rôles, modifications sensibles des règles, accès depuis Tor | Basé sur le journal |
| Réseau | Requêtes DNS de logiciels malveillants, connexions à des adresses IP de minage de cryptomonnaie connues | Basé sur le journal |
Sources de renseignements sur les menaces
Security Command Center utilise les renseignements sur les menaces de Google Threat Intelligence, une suite de renseignements de haute précision qui collecte des milliards de signaux provenant des produits et services mondiaux de Google. Google Threat Intelligence identifie les indicateurs malveillants connus, tels que les signatures, les hachages de fichiers et les adresses malveillantes, et offre les avantages suivants :
- Fidélité et précision : minimise les faux positifs en se concentrant sur les menaces actives et vérifiées.
- Amélioration continue : utilise des renseignements privilégiés issus d'enquêtes de réponse aux incidents sur le terrain, de la télémétrie mondiale, des renseignements internes et du contexte issu du crowdsourcing sur les fichiers, URL et domaines potentiellement malveillants pour améliorer en continu la couverture. Pour améliorer la collecte d'informations, il utilise également diverses techniques, telles que des systèmes leurres (également appelés pots de miel).
Hiérarchisation des menaces
Pour vous aider à identifier les menaces les plus critiques qui nécessitent une attention immédiate, Security Command Center attribue un niveau de gravité à chaque résultat.
De plus, la fonctionnalité Menaces corrélées regroupe plusieurs résultats associés dans un seul problème pour fournir des détections plus fiables des activités post-exploitation. La fonctionnalité Menaces corrélées visualise également la chaîne d'attaque et montre comment les événements sont liés pour former une histoire d'attaque complète. Cette chaîne d'attaque vous aide à anticiper les mouvements de l'adversaire, à identifier les composants compromis, à mettre en évidence les menaces critiques, à obtenir des recommandations de réponse claires et à accélérer votre réponse.
Services de détection des menaces intégrés
Cette section fournit un récapitulatif des services de détection intégrés à Security Command Center. Ces services utilisent différentes techniques d'analyse et fonctionnent à différents niveaux pour détecter les menaces dans votre environnement cloud.
La détection des menaces Agent Engine (aperçu) surveille l'état des agents d'IA déployés dans l'environnement d'exécution Vertex AI Agent Engine pour détecter les attaques courantes au moment de l'exécution. Disponible avec les niveaux de service Premium et Enterprise.
La détection d'anomalies utilise des signaux de comportement extérieurs à votre système pour détecter les anomalies de sécurité dans vos comptes de service, comme les identifiants potentiellement divulgués. Disponible avec les niveaux de service Standard, Premium et Enterprise.
Cloud Run Threat Detection surveille l'état des ressources Cloud Run compatibles pour détecter les attaques courantes au moment de l'exécution. Disponible avec les niveaux de service Premium et Enterprise.
Container Threat Detection génère des résultats en collectant et en analysant les comportements de bas niveau observés dans le noyau invité des conteneurs. Disponible avec les niveaux de service Premium et Enterprise.
Event Threat Detection génère des résultats de sécurité en faisant correspondre les événements de vos flux de journaux Cloud Logging aux indicateurs de compromission (IoC) connus, en identifiant les techniques antagonistes connues et en détectant les anomalies comportementales. Disponible avec les niveaux de service Premium et Enterprise.
Le service d'actions sensibles détecte les actions effectuées dans votre organisation, vos dossiers et vos projets Google Cloud qui pourraient nuire à votre entreprise si elles étaient effectuées par une personne malveillante. Disponible avec les niveaux de service Standard, Premium et Enterprise.
Virtual Machine Threat Detection analyse les projets Compute Engine et les instances de VM pour détecter les applications potentiellement malveillantes exécutées dans les VM, telles que les logiciels de minage de cryptomonnaie et les rootkits en mode kernel. Disponible avec les niveaux de service Premium et Enterprise.
Ces services de détection génèrent des résultats dans Security Command Center. Pour les niveaux de service Premium et Enterprise (qui nécessitent une activation au niveau de l'organisation), vous pouvez également configurer des exportations continues vers Cloud Logging.
Activer la détection des menaces
Pour les niveaux de service Premium et Enterprise, de nombreux services de détection des menaces sont activés par défaut. Pour activer ou désactiver un service intégré, consultez Configurer les services Security Command Center.
Vous devrez peut-être activer la collecte de journaux spécifiques si votre organisation l'exige. Pour en savoir plus, consultez Types de journaux et conditions d'activation.
Utiliser les services de détection des menaces
Pour utiliser les services de détection des menaces intégrés, consultez les ressources suivantes :
- Utiliser Agent Engine Threat Detection
- Utiliser la détection des menaces Cloud Run
- Utiliser Container Threat Detection
- Utiliser Event Threat Detection
- Utiliser le service d'actions sensibles
- Utiliser Virtual Machine Threat Detection
Envoyer des commentaires
Pour envoyer des commentaires sur les fonctionnalités de détection des menaces de Security Command Center, consultez Envoyer des commentaires via la consoleGoogle Cloud .
Étapes suivantes
- Consultez la liste complète de tous les types de résultats de détection de menace.
- Examiner et corriger un résultat de menace