זיהוי איומים ב-Security Command Center

במאמר הזה מתוארות התכונות של Security Command Center שעוזרות לכם לזהות ולחקור איומים על סביבת הענן שלכם.

סקירה כללית של הארכיטקטורה

‫Security Command Center מספק זיהוי איומים באמצעות גישה רב-שכבתית לטיפול בפערים באבטחה בסביבה שלכם. גלאים מבוססי-יומן, ללא סוכן ובזמן ריצה, עוקבים אחרי משאבי הענן ומזהים פעילות זדונית פוטנציאלית כמעט בזמן אמת. הגלאים האלה מדווחים על האירועים האלה כממצאים עם רמות חומרה שהוקצו להם.

ב-Security Command Center מוצגים ממצאי האיומים בפלטפורמה מרכזית, יחד עם ממצאי אבטחה אחרים, כדי לספק לכם תמונה רחבה של מצב האבטחה הכולל שלכם. כדי לעזור לכם לתעדף את הממצאים, ב-Security Command Center מקבצים איומים שקשורים זה לזה לבעיות של איומים מתואמים.

הדיאגרמה הבאה ממחישה את תהליך זיהוי האיומים של Security Command Center.

ארכיטקטורה לזיהוי איומים ב-Security Command Center.

שכבות של זיהוי איומים

כדי לעזור לכם לטפל בפערים במצב האבטחה שלכם, Security Command Center מארגן את זיהוי האיומים בשלוש שכבות עיקריות: זיהוי מבוסס-יומן, זיהוי ללא סוכן וזיהוי בזמן ריצה.

זיהוי מבוסס-יומנים

Security Command Center יכול לעקוב באופן רציף אחרי זרמי יומנים ולנתח אותם עבור הארגון או הפרויקטים שלכם, כדי לזהות דפוסים חשודים, סימנים מחשידים (IoC) ופעולות רגישות.

Event Threat Detection ו-Sensitive Actions Service מספקים זיהוי מבוסס-יומן.

זיהוי איומים על סמך יומנים

‫Event Threat Detection יכול לזהות מתקפות במגוון Google Cloud שירותים וקטגוריות של משאבים, כולל מתקפות שמבוססות על זהות ושימוש לא מורשה בשירותים. התכונה Event Threat Detection עוקבת אחרי הפעולות הבאות:

רשימה מלאה של כללי Event Threat Detection והיומנים שהם מנתחים מופיעה במאמר כללי Event Threat Detection.

יכול להיות שתצטרכו להפעיל את האיסוף של יומנים ספציפיים אם הארגון שלכם דורש זאת. מידע נוסף זמין במאמר בנושא סוגי יומנים ודרישות הפעלה.

זיהוי פעולות רגישות על סמך יומנים

שירות הפעולות הרגישות עוקב אחרי יומני ביקורת של פעילות האדמין כדי לזהות פעולות רגישות שעלולות לגרום נזק לעסק אם הן מבוצעות על ידי גורם זדוני. רשימה מלאה של הגלאים של Sensitive Actions Service מופיעה במאמר ממצאים של Sensitive Actions Service.

זיהוי ללא סוכן

בזיהוי ללא סוכן, המערכת סורקת את המכונות הווירטואליות של Compute Engine מההיפר-ויז'ר כדי לזהות אפליקציות זדוניות שפועלות במופעים של המכונות הווירטואליות (VM), כמו כלים לכריית מטבעות קריפטוגרפיים ו-rootkit במצב ליבה.

הזיהוי ללא סוכן פועל מחוץ למכונה הווירטואלית של האורח ולא דורש סוכני אורח, הגדרות מיוחדות של מערכת ההפעלה של האורח או קישוריות רשת בתוך האורח. אתם לא צריכים להתקין, לנהל או לעדכן תוכנה בצי של מכונות וירטואליות. מכיוון שהזיהוי ללא סוכן פועל מחוץ למכונת ה-VM, הוא לא ניתן לזיהוי על ידי תוכנות זדוניות שנמצאות בתוך מכונת ה-VM, והוא לא צורך מחזורי CPU או זיכרון.

זיהוי איומים במכונות וירטואליות מספק זיהוי ללא סוכן. רשימה מלאה של גלאים של זיהוי איומים במכונות וירטואליות זמינה במאמר ממצאים של זיהוי איומים במכונות וירטואליות.

זיהוי בזמן ריצה

זיהוי בזמן ריצה מטפל באיומים שמופיעים אחרי הפריסה בסביבות דינמיות. הוא עוקב באופן רציף אחרי הפעילות, השינויים וניסיונות הגישה מרחוק בקונטיינרים פעילים ובאפליקציות בלי שרת (serverless), ומעריך אותם כדי לזהות מתקפות נפוצות בזמן ריצה. דוגמאות להתקפות כאלה כוללות מעטפת הפוכה, פריצה למאגר והרצה של תוכנות זדוניות.

השירותים הבאים מספקים זיהוי בזמן ריצה:

קטגוריית משאבים ומטריצת זיהוי

בטבלה הבאה מוצגות קטגוריות של משאבים שאפשר לעקוב אחריהם ב-Security Command Center, דוגמאות לזיהויים ושכבות הזיהוי הזמינות.

קטגוריית משאבים דוגמאות לאיומים שזוהו שכבות זיהוי
AI זליגת נתונים שמתחילה על ידי סוכן, סקריפט זדוני שמופעל בעומס עבודה של סוכן זמן ריצה, מבוסס-יומנים
Amazon EC2 קובץ זדוני בכונן Agentless
Backup and DR מחיקה לא מורשית של גיבויים ומארחי DR מבוסס-יומן
BigQuery זליגת נתונים מבוסס-יומן
Cloud Run מעטפות הפוכות, הפעלה של כלי סיור, שימוש בפקודות של כריית מטבע וירטואלי זמן ריצה, מבוסס-יומנים
Cloud Storage שינויים בהגדרות של סינון כתובות IP בקטגוריה מבוסס-יומן
Compute Engine כריית מטבעות וירטואליים, ערכות rootkit במצב ליבה, התמדה של דיסק אתחול שעבר שינוי ללא סוכן, מבוסס-יומנים
מסד נתונים זליגת נתונים, שינויים בטבלאות משתמשים שבוצעו על ידי משתמש על מבוסס-יומן
Google Kubernetes Engine הפעלה של קובץ בינארי זדוני, פירצה בקונטיינר, הפעלה של קונטיינרים עם הרשאות זמן ריצה, מבוסס-יומנים
Google Workspace הדלפות של סיסמאות, דפוסי כניסה חשודים מבוסס-יומן
ניהול זהויות והרשאות גישה הענקת תפקידים חריגה, שינויים רגישים במדיניות, גישה מ-Tor מבוסס-יומן
רשת שאילתות DNS של תוכנות זדוניות, חיבורים לכתובות IP ידועות של כריית מטבע וירטואלי מבוסס-יומן

מקורות של מודיעין איומי סייבר

Security Command Center משתמש במודיעין איומי סייבר מ-Google Threat Intelligence: חבילת מודיעין ברמת דיוק גבוהה שאוספת מיליארדי אותות מכל המוצרים והשירותים הגלובליים של Google. Google Threat Intelligence מזהה אינדיקטורים זדוניים מוכרים כמו חתימות זדוניות, גיבוב קבצים וכתובות, ומציע את היתרונות הבאים:

  • נאמנות ודיוק: המערכת מצמצמת את מספר התוצאות החיוביות הכוזבות על ידי התמקדות באיומים פעילים ומאומתים.
  • שיפור מתמיד: המערכת משתמשת במידע מודיעיני מהשטח, מתוך חקירות של תגובות לאירועים בעולם האמיתי, טלמטריה גלובלית, מידע מודיעיני פנימי והקשר שמבוסס על מיקור המונים לגבי קבצים, כתובות URL ודומיינים שעלולים להיות זדוניים, כדי לשפר באופן מתמיד את הכיסוי. כדי לשפר את איסוף המודיעין, היא משתמשת גם בטכניקות שונות, כמו מערכות פיתיון (שנקראות גם מלכודות דבש).

תעדוף איומים

כדי לעזור לכם לזהות את האיומים הקריטיים ביותר שדורשים טיפול מיידי, ב-Security Command Center מוקצה רמת חומרה לכל ממצא.

בנוסף, התכונה Correlated Threats מאחדת כמה ממצאים קשורים לבעיה אחת כדי לספק זיהויים מהימנים יותר של פעילות שמתבצעת אחרי ניצול לרעה. התכונה 'איומים קשורים' גם ממחישה את שרשרת המתקפה ומראה איך האירועים מתחברים ויוצרים סיפור מתקפה מלא. שרשרת ההתקפה הזו עוזרת לכם לצפות את מהלכי היריב, לזהות נכסים שנפרצו, להדגיש איומים קריטיים, לקבל המלצות ברורות לתגובה ולזרז את התגובה שלכם.

שירותים מובנים לזיהוי איומים

בקטע הזה מופיע סיכום של שירותי הזיהוי המובנים ב-Security Command Center. השירותים האלה משתמשים בטכניקות סריקה שונות ופועלים בשכבות שונות כדי לזהות איומים בסביבת הענן שלכם.

  • Agent Engine Threat Detection (תצוגה מקדימה) עוקב אחרי מצבם של סוכני AI שנפרסו בסביבת זמן הריצה של Vertex AI Agent Engine כדי לזהות מתקפות נפוצות בזמן הריצה. זמין במסלולי השירות Premium ו-Enterprise.

  • זיהוי אנומליות מתבסס על אותות התנהגות מחוץ למערכת כדי לזהות אנומליות אבטחה בחשבונות השירות, כמו פרטי כניסה שדלפו. זמין ברמות השירות Standard-legacy,‏ Standard,‏ Premium ו-Enterprise.

  • Cloud Run Threat Detection עוקב אחרי המצב של משאבי Cloud Run נתמכים כדי לזהות מתקפות נפוצות בזמן ריצה. זמין במסלולי השירות Premium ו-Enterprise.

  • Container Threat Detection (זיהוי איומים בקונטיינר) יוצר ממצאים על ידי איסוף וניתוח של התנהגות שנצפתה ברמה נמוכה בקרנל האורח של קונטיינרים. זמין במסלולי השירות Premium ו-Enterprise.

  • Event Threat Detection (זיהוי איומים באירועים) מפיק ממצאים בנושא אבטחה על ידי התאמת אירועים בזרמי היומנים של Cloud Logging לאינדיקטורים ידועים של פריצה (IoC), זיהוי טכניקות ידועות של תוקפים וזיהוי חריגות התנהגותיות. זמין במסלולי השירות Premium ו-Enterprise.

  • השירות 'פעולות רגישות' מזהה מתי מתבצעות פעולות בארגון, בתיקיות ובפרויקטים שלכם, שיכולות לגרום נזק לעסק אם הן מתבצעות על ידי גורם זדוני. Google Cloud זמין ברמות השירות Standard-legacy,‏ Standard,‏ Premium ו-Enterprise.

  • זיהוי איומים במכונות וירטואליות סורק פרויקטים ומכונות וירטואליות ב-Compute Engine כדי לזהות אפליקציות זדוניות פוטנציאליות שפועלות במכונות וירטואליות, כמו תוכנות לכריית מטבעות קריפטוגרפיים וערכות rootkit במצב ליבה. זמין במסלולי השירות Premium ו-Enterprise.

שירותי הזיהוי האלה יוצרים ממצאים ב-Security Command Center. במהדורות Premium ו-Enterprise (נדרשת הפעלה ברמת הארגון), אפשר גם להגדיר ייצוא רציף ל-Cloud Logging.

הפעלת זיהוי איומים

במהדורות Premium ו-Enterprise, שירותים רבים לזיהוי איומים מופעלים כברירת מחדל. במאמר הגדרת שירותים של Security Command Center מוסבר איך להפעיל או להשבית שירות מובנה.

יכול להיות שתצטרכו להפעיל את האיסוף של יומנים ספציפיים אם הארגון שלכם דורש זאת. מידע נוסף זמין במאמר בנושא סוגי יומנים ודרישות הפעלה.

עבודה עם שירותים לזיהוי איומים

כדי לעבוד עם שירותי זיהוי האיומים המובנים, אפשר לעיין במאמרים הבאים:

שליחת משוב

כדי לשלוח משוב על התכונות של זיהוי איומים ב-Security Command Center, אפשר לעיין במאמר בנושא שליחת משוב דרךGoogle Cloud המסוף.

המאמרים הבאים