זיהוי איומים ב-Security Command Center

במאמר הזה מתוארות התכונות של Security Command Center שעוזרות לכם לזהות איומים בסביבת הענן ולחקור אותם.

סקירה כללית של הארכיטקטורה

ב-Security Command Center יש זיהוי איומים באמצעות גישה רב-שכבתית לטיפול בפערים באבטחה בסביבה שלכם. גלאים מבוססי-יומן, ללא סוכן וזמן ריצה עוקבים אחרי משאבי הענן ומזהים פעילות זדונית פוטנציאלית כמעט בזמן אמת. הגלאים האלה מדווחים על האירועים האלה כממצאים עם רמות חומרה שהוקצו להם.

ב-Security Command Center מוצגים ממצאי האיומים בפלטפורמה מרכזית, יחד עם ממצאי אבטחה אחרים, כדי לספק לכם תמונה רחבה של מצב האבטחה הכולל שלכם. כדי לעזור לכם לתעדף את הממצאים, ב-Security Command Center מקבצים איומים שקשורים זה לזה לבעיות של איומים מתואמים.

בתרשים הבא מודגם תהליך זיהוי האיומים ב-Security Command Center.

ארכיטקטורה לזיהוי איומים ב-Security Command Center.

שכבות של זיהוי איומים

כדי לעזור לכם לטפל בפערים במצב האבטחה שלכם, Security Command Center מארגן את זיהוי האיומים בשלוש שכבות עיקריות: זיהוי מבוסס-יומן, זיהוי ללא סוכן וזיהוי בזמן ריצה.

זיהוי מבוסס-יומנים

Security Command Center יכול לנטר ולנתח באופן רציף את זרמי היומנים של הארגון או הפרויקטים שלכם כדי לזהות דפוסים חשודים, אינדיקטורים ידועים של פריצה (IoCs) ופעולות רגישות.

Event Threat Detection ו-Sensitive Actions Service מספקים זיהוי מבוסס-יומן.

זיהוי איומים על סמך יומנים

התכונה Event Threat Detection יכולה לזהות מתקפות במגוון Google Cloud שירותים וקטגוריות של משאבים, כולל מתקפות שמבוססות על זהות ושימוש לא מורשה בשירותים. התכונה Event Threat Detection עוקבת אחרי הפעולות הבאות:

רשימה מלאה של כללי Event Threat Detection והיומנים שהם מנתחים מופיעה במאמר כללי Event Threat Detection.

יכול להיות שתצטרכו להפעיל את איסוף היומנים הספציפיים אם הארגון שלכם דורש זאת. מידע נוסף זמין במאמר בנושא סוגי יומנים ודרישות הפעלה.

זיהוי פעולות רגישות על סמך יומנים

שירות הפעולות הרגישות עוקב אחרי יומני הביקורת Admin Activity כדי לזהות פעולות רגישות שעלולות לגרום נזק לעסק אם הן מבוצעות על ידי גורם זדוני. רשימה מלאה של הגלאים של Sensitive Actions Service מופיעה במאמר ממצאים של Sensitive Actions Service.

זיהוי ללא סוכן

בסריקה ללא סוכן, המכונות הווירטואליות של Compute Engine נסרקות מההיפר-ויז'ור כדי לזהות אפליקציות זדוניות שפועלות במופעים של המכונות הווירטואליות (VM), כמו כלי כרייה של מטבעות קריפטוגרפיים ו-rootkit במצב ליבה.

הזיהוי ללא סוכן פועל מחוץ למכונה הווירטואלית של האורח, ולא דורש סוכני אורח, הגדרות מיוחדות של מערכת ההפעלה של האורח או קישוריות לרשת בתוך האורח. אתם לא צריכים להתקין, לנהל או לעדכן תוכנה במערך של מכונות וירטואליות. מכיוון שהזיהוי ללא סוכן פועל מחוץ למכונת ה-VM, הוא לא ניתן לזיהוי על ידי תוכנות זדוניות שקיימות בתוך מכונת ה-VM, והוא לא צורך מחזורי CPU או זיכרון.

זיהוי איומים במכונות וירטואליות מספק זיהוי ללא סוכן. רשימה מלאה של גלאים של זיהוי איומים במכונות וירטואליות זמינה במאמר ממצאים של זיהוי איומים במכונות וירטואליות.

זיהוי בזמן ריצה

זיהוי בזמן ריצה מטפל באיומים שמופיעים אחרי הפריסה בסביבות דינמיות. הוא עוקב באופן רציף אחרי הפעילות, השינויים וניסיונות הגישה מרחוק בקונטיינרים ובאפליקציות ללא שרת (serverless) שפועלים, ומעריך אותם כדי לזהות מתקפות נפוצות בזמן ריצה. דוגמאות להתקפות כאלה: מעטפת הפוכה, פריצה למאגר והרצת תוכנות זדוניות.

השירותים הבאים מספקים זיהוי בזמן ריצה:

קטגוריית משאבים ומטריצת זיהוי

בטבלה הבאה מוצגות קטגוריות המשאבים ש-Security Command Center יכול לעקוב אחריהן, דוגמאות לזיהויים ושכבות הזיהוי הזמינות.

קטגוריית משאבים דוגמאות לאיומים שזוהו שכבות זיהוי
AI זליגת נתונים שמתחילה על ידי סוכן, סקריפט זדוני שמופעל בעומס עבודה של סוכן זמן ריצה, מבוסס-יומנים
Amazon EC2 קובץ זדוני בכונן Agentless
Backup and DR מחיקה לא מורשית של גיבויים ומארחים של DR מבוסס-יומן
BigQuery זליגת נתונים מבוסס-יומן
Cloud Run מעטפות הפוכות, הפעלה של כלי סיור, שימוש בפקודות של כריית מטבע וירטואלי זמן ריצה, מבוסס-יומנים
Cloud Storage שינויים בהגדרות של סינון כתובות IP בקטגוריה מבוסס-יומן
Compute Engine כריית מטבע וירטואלי, ערכות rootkit במצב ליבה, התמדה של דיסק אתחול שעבר שינוי ללא סוכן, מבוסס-יומנים
מסד נתונים זליגת נתונים, שינויים בטבלאות משתמשים שבוצעו על ידי משתמש על מבוסס-יומן
Google Kubernetes Engine הפעלה של קובץ בינארי זדוני, פירצה בקונטיינר, הפעלה של קונטיינרים עם הרשאות זמן ריצה, מבוסס-יומנים
Google Workspace הדלפות של סיסמאות, דפוסי כניסה חשודים מבוסס-יומן
ניהול זהויות והרשאות גישה הענקת תפקידים חריגה, שינויים רגישים במדיניות, גישה מ-Tor מבוסס-יומן
רשת שאילתות DNS של תוכנות זדוניות, חיבורים לכתובות IP ידועות של כריית מטבעות קריפטוגרפיים מבוסס-יומן

מקורות של מודיעין איומי סייבר

Security Command Center משתמש במודיעין איומי סייבר מ-Google Threat Intelligence: חבילת מודיעין ברמת מהימנות גבוהה שאוספת מיליארדי אותות מכל המוצרים והשירותים הגלובליים של Google. Google Threat Intelligence מזהה אינדיקטורים זדוניים מוכרים כמו חתימות זדוניות, גיבוב קבצים וכתובות, ומציע את היתרונות הבאים:

  • נאמנות ודיוק: המערכת מצמצמת את מספר התוצאות החיוביות הכוזבות על ידי התמקדות באיומים פעילים ומאומתים.
  • שיפור מתמיד: המערכת משתמשת במידע מודיעיני מהשטח, מתוך חקירות של תגובה לאירועים בעולם האמיתי, טלמטריה גלובלית, מידע מודיעיני פנימי והקשר שמגיע ממיקור המונים לגבי קבצים, כתובות URL ודומיינים שעלולים להיות זדוניים, כדי לשפר באופן מתמיד את הכיסוי. כדי לשפר את איסוף המידע, היא משתמשת גם בטכניקות שונות, כמו מערכות הטעיה (שנקראות גם מלכודות דבש).

תעדוף איומים

כדי לעזור לכם לזהות את האיומים הקריטיים ביותר שדורשים טיפול מיידי, ב-Security Command Center מוקצה רמת חומרה לכל ממצא.

בנוסף, התכונה Correlated Threats מאחדת כמה ממצאים קשורים לבעיה אחת כדי לספק זיהויים מהימנים יותר של פעילות אחרי ניצול לרעה. התכונה 'איומים קשורים' גם ממחישה את שרשרת המתקפה ומראה איך האירועים מתחברים ויוצרים סיפור מתקפה מלא. שרשרת ההתקפה הזו עוזרת לכם לצפות את מהלכי היריב, לזהות נכסים שנפרצו, להדגיש איומים קריטיים, לקבל המלצות ברורות לתגובה ולזרז את התגובה שלכם.

שירותים מובנים לזיהוי איומים

בקטע הזה מופיע סיכום של שירותי הזיהוי המובנים ב-Security Command Center. השירותים האלה משתמשים בטכניקות סריקה שונות ופועלים בשכבות שונות כדי לזהות איומים בסביבת הענן שלכם.

  • Agent Platform Threat Detection (תצוגה מקדימה) מנטר את המצב של סוכני AI שנפרסו ב-Agent Runtime כדי לזהות מתקפות נפוצות בזמן ריצה. זמין במסלולי השירות Premium ו-Enterprise.

  • זיהוי אנומליות משתמש באותות התנהגותיים מחוץ למערכת כדי לזהות אנומליות אבטחה בחשבונות השירות, כמו פרטי כניסה פוטנציאליים שדלפו. זמין ברמות השירות Standard-legacy,‏ Standard,‏ Premium ו-Enterprise.

  • Cloud Run Threat Detection עוקב אחרי המצב של משאבי Cloud Run נתמכים כדי לזהות מתקפות נפוצות בזמן ריצה. זמין במסלולי השירות Premium ו-Enterprise.

  • Container Threat Detection (זיהוי איומים בקונטיינר) יוצר ממצאים על ידי איסוף וניתוח של התנהגות שנצפתה ברמה נמוכה בקרנל האורח של קונטיינרים. זמין במסלולי השירות Premium ו-Enterprise.

  • Event Threat Detection יוצר ממצאים בנושא אבטחה על ידי התאמת אירועים בזרמי היומנים של Cloud Logging לאינדיקטורים ידועים של פריצה (IoC), זיהוי טכניקות ידועות של תוקפים וזיהוי חריגות בהתנהגות. זמין במסלולי השירות Premium ו-Enterprise.

  • שירות הפעולות הרגישות מזהה פעולות שמתבצעות ב Google Cloud ארגון, בתיקיות ובפרויקטים, שיכולות לגרום נזק לעסק אם הן מתבצעות על ידי גורם זדוני. זמין ברמות השירות Standard-legacy,‏ Standard,‏ Premium ו-Enterprise.

  • זיהוי איומים במכונות וירטואליות סורק פרויקטים ומכונות וירטואליות ב-Compute Engine כדי לזהות אפליקציות זדוניות פוטנציאליות שפועלות במכונות וירטואליות, כמו תוכנות לכריית מטבעות קריפטוגרפיים וערכות rootkit במצב ליבה. זמין במסלולי השירות Premium ו-Enterprise.

שירותי הזיהוי האלה יוצרים ממצאים ב-Security Command Center. במהדורות Premium ו-Enterprise (נדרשת הפעלה ברמת הארגון), אפשר גם להגדיר ייצוא רציף ל-Cloud Logging.

הפעלת זיהוי איומים

במהדורות Premium ו-Enterprise, הרבה שירותים לזיהוי איומים מופעלים כברירת מחדל. במאמר הגדרת שירותים של Security Command Center מוסבר איך להפעיל או להשבית שירות מובנה.

יכול להיות שתצטרכו להפעיל את איסוף היומנים הספציפיים אם הארגון שלכם דורש זאת. מידע נוסף זמין במאמר בנושא סוגי יומנים ודרישות הפעלה.

עבודה עם שירותים לזיהוי איומים

כדי לעבוד עם שירותי זיהוי האיומים המובנים, אפשר לעיין במאמרים הבאים:

שליחת משוב

כדי לשלוח משוב על התכונות של זיהוי איומים ב-Security Command Center, אפשר לעיין במאמר בנושא שליחת משוב דרךGoogle Cloud המסוף.

המאמרים הבאים