Deteksi ancaman di Security Command Center

Dokumen ini menjelaskan fitur Security Command Center yang membantu Anda mendeteksi dan menyelidiki ancaman terhadap lingkungan cloud Anda.

Ringkasan arsitektur

Security Command Center menyediakan deteksi ancaman melalui pendekatan berlapis untuk mengatasi celah keamanan di lingkungan Anda. Detektor berbasis log, tanpa agen, dan runtime memantau resource cloud Anda dan mendeteksi aktivitas yang berpotensi berbahaya secara hampir real time. Detektor ini melaporkan insiden ini sebagai temuan dengan tingkat keparahan yang ditetapkan.

Security Command Center menyediakan temuan ancaman di platform terpusat bersama dengan temuan keamanan lainnya untuk memberi Anda gambaran umum tentang kondisi keamanan Anda secara keseluruhan. Untuk membantu Anda memilah-milah temuan, Security Command Center mengelompokkan ancaman terkait erat ke dalam masalah Ancaman yang Berkorelasi.

Diagram berikut menggambarkan proses deteksi ancaman Security Command Center.

Arsitektur untuk deteksi ancaman Security Command Center.

Lapisan deteksi ancaman

Security Command Center mengatur deteksi ancaman ke dalam tiga lapisan utama untuk membantu mengatasi celah dalam postur keamanan Anda: deteksi berbasis log, deteksi tanpa agen, dan deteksi runtime.

Deteksi berbasis log

Security Command Center dapat terus memantau dan menganalisis aliran log untuk organisasi atau project Anda guna mengidentifikasi pola mencurigakan, indikator gangguan (IoC) yang diketahui, dan tindakan sensitif.

Event Threat Detection dan Sensitive Actions Service menyediakan deteksi berbasis log.

Deteksi ancaman berbasis log

Event Threat Detection dapat mendeteksi serangan di berbagai Google Cloud layanan dan kategori resource, termasuk serangan berbasis identitas dan penggunaan layanan yang tidak sah. Event Threat Detection memantau hal-hal berikut:

Streaming Cloud Logging untuk organisasi dan project Anda, seperti entri panggilan dan tindakan API yang membuat, membaca, atau mengubah konfigurasi atau metadata resource. Contohnya mencakup:
- Cloud Audit Logs (log Aktivitas Admin, Akses Data, dan Peristiwa Sistem)
- VPC Flow Logs
- Log Cloud DNS
- Sumber log dasar
Log audit untuk Google Workspace, yang melacak login pengguna ke domain Anda dan tindakan yang dilakukan di Konsol Admin Google Workspace Anda.

Untuk mengetahui daftar lengkap pendeteksi Event Threat Detection dan log yang dianalisisnya, lihat Aturan Event Threat Detection.

Anda mungkin perlu mengaktifkan pengumpulan log tertentu jika diperlukan oleh organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Jenis log dan persyaratan aktivasi.

Deteksi tindakan sensitif berbasis log

Layanan Tindakan Sensitif memantau log audit Aktivitas Admin untuk mendeteksi tindakan sensitif yang dapat merusak bisnis Anda jika dilakukan oleh pelaku kejahatan. Untuk mengetahui daftar lengkap pendeteksi Layanan Tindakan Sensitif, lihat Temuan Layanan Tindakan Sensitif.

Deteksi tanpa agen

Deteksi tanpa agen memindai virtual machine Compute Engine Anda dari hypervisor untuk mengidentifikasi aplikasi berbahaya yang berjalan di instance virtual machine (VM) Anda, seperti alat penambangan mata uang kripto dan rootkit mode kernel.

Deteksi tanpa agen beroperasi dari luar instance VM tamu dan tidak memerlukan agen tamu, konfigurasi OS tamu khusus, atau konektivitas jaringan dalam tamu. Anda tidak perlu menginstal, mengelola, atau mengupdate software di sekumpulan VM. Karena deteksi tanpa agen beroperasi di luar instance VM, deteksi ini tidak dapat dideteksi oleh malware yang berada di dalam VM dan tidak menggunakan siklus CPU atau memori.

Virtual Machine Threat Detection menyediakan deteksi tanpa agen. Untuk mengetahui daftar lengkap detektor VM Threat Detection, lihat Temuan Virtual Machine Threat Detection.

Deteksi runtime

Deteksi runtime menangani ancaman yang muncul setelah deployment di lingkungan dinamis. Layanan ini terus memantau dan menilai aktivitas, perubahan, dan upaya akses jarak jauh dalam container yang berjalan dan aplikasi serverless untuk mengidentifikasi serangan runtime umum. Contoh serangan ini mencakup shell terbalik, pelarian container, dan eksekusi program berbahaya.

Layanan berikut menyediakan deteksi runtime:

Container Threat Detection menggunakan instrumentasi tingkat kernel untuk mengumpulkan dan menilai perilaku di kernel tamu node GKE.
Deteksi Ancaman Cloud Run memantau resource Cloud Run yang didukung.
Deteksi Ancaman Agent Engine (Pratinjau) memantau beban kerja berbasis agen yang di-deploy ke Vertex AI Agent Engine.

Kategori resource dan matriks deteksi

Tabel berikut menunjukkan kategori resource yang dapat dipantau oleh Security Command Center, contoh deteksi, dan lapisan deteksi yang tersedia.

Kategori resource	Contoh ancaman yang terdeteksi	Lapisan deteksi
AI	Pemindahan data yang dimulai agen, skrip berbahaya yang dieksekusi dalam beban kerja agentic	Runtime, berbasis log
Amazon EC2	File berbahaya di disk	Tanpa agen
Backup and DR	Penghapusan host DR dan cadangan yang tidak sah	Berbasis log
BigQuery	Eksfiltrasi data	Berbasis log
Cloud Run	Reverse shell, eksekusi alat pengintaian, penggunaan perintah penambangan kripto	Runtime, berbasis log
Cloud Storage	Modifikasi dalam konfigurasi pemfilteran IP untuk bucket	Berbasis log
Compute Engine	Penambangan kripto, rootkit mode kernel, persistensi disk booting yang dimodifikasi	Tanpa agen, berbasis log
Database	Eksfiltrasi data, modifikasi superuser pada tabel pengguna	Berbasis log
Google Kubernetes Engine	Eksekusi biner berbahaya, container escape, peluncuran container dengan hak istimewa	Runtime, berbasis log
Google Workspace	Kebocoran sandi, pola login yang mencurigakan	Berbasis log
Identity and Access Management	Pemberian peran yang tidak normal, perubahan kebijakan sensitif, akses dari Tor	Berbasis log
Network	Kueri DNS malware, koneksi ke alamat IP penambangan kripto yang diketahui	Berbasis log

Sumber kecerdasan ancaman

Security Command Center menggunakan analisis ancaman dari Google Threat Intelligence: kumpulan analisis fidelitas tinggi yang mengumpulkan miliaran sinyal dari seluruh produk dan layanan global Google. Google Threat Intelligence mengidentifikasi indikator berbahaya yang diketahui seperti tanda tangan berbahaya, hash file, dan alamat, serta menawarkan manfaat berikut:

Fidelitas dan presisi: Meminimalkan positif palsu dengan berfokus pada ancaman aktif dan terverifikasi.
Peningkatan berkelanjutan: Menggunakan kecerdasan garis depan dari investigasi respons insiden di dunia nyata, telemetri global, kecerdasan internal, dan konteks crowdsource pada file, URL, dan domain yang berpotensi berbahaya untuk terus meningkatkan cakupan. Untuk meningkatkan pengumpulan informasinya, sistem ini juga menggunakan berbagai teknik, seperti sistem umpan (juga dikenal sebagai honeypot).

Penentuan prioritas ancaman

Untuk membantu Anda mengidentifikasi ancaman paling serius yang perlu segera ditangani, Security Command Center menetapkan tingkat keseriusan untuk setiap temuan.

Selain itu, fitur Ancaman yang Berkorelasi menggabungkan beberapa temuan terkait menjadi satu masalah untuk memberikan deteksi aktivitas pasca-eksploitasi dengan keyakinan yang lebih tinggi. Fitur Ancaman yang Berkorelasi juga memvisualisasikan rantai serangan dan menunjukkan cara peristiwa terhubung untuk membentuk kisah serangan yang lengkap. Rangkaian serangan ini membantu Anda mengantisipasi langkah-langkah penyerang, mengidentifikasi aset yang disusupi, menandai ancaman penting, mendapatkan rekomendasi respons yang jelas, dan mempercepat respons Anda.

Layanan deteksi ancaman bawaan

Bagian ini memberikan ringkasan layanan deteksi bawaan di Security Command Center. Layanan ini menggunakan teknik pemindaian yang berbeda dan beroperasi di lapisan yang berbeda untuk mendeteksi ancaman di lingkungan cloud Anda.

Deteksi Ancaman Agent Engine (Pratinjau) memantau status agen AI yang di-deploy ke runtime Vertex AI Agent Engine untuk mendeteksi serangan runtime umum. Tersedia untuk tingkat layanan Premium dan Enterprise.
Deteksi Anomali menggunakan sinyal perilaku dari luar sistem Anda untuk mendeteksi anomali keamanan di akun layanan Anda, seperti potensi kebocoran kredensial. Tersedia untuk paket layanan Standard, Premium, dan Enterprise.
Deteksi Ancaman Cloud Run memantau status resource Cloud Run yang didukung untuk mendeteksi serangan runtime umum. Tersedia untuk tingkat layanan Premium dan Enterprise.
Container Threat Detection membuat temuan dengan mengumpulkan dan menganalisis perilaku yang diamati di tingkat rendah di kernel tamu container. Tersedia untuk tingkat layanan Premium dan Enterprise.
Event Threat Detection menghasilkan temuan keamanan dengan mencocokkan peristiwa di aliran log Cloud Logging Anda dengan indikator gangguan (IoC) yang diketahui, mengidentifikasi teknik serangan yang diketahui, dan mendeteksi anomali perilaku. Tersedia untuk tingkat layanan Premium dan Enterprise.
Layanan Tindakan Sensitif mendeteksi kapan tindakan dilakukan di organisasi, folder, dan project Anda yang dapat merusak bisnis Anda jika dilakukan oleh pelaku kejahatan. Google Cloud Tersedia untuk paket layanan Standard, Premium, dan Enterprise.
Deteksi Ancaman Mesin Virtual memindai project Compute Engine dan instance VM untuk mendeteksi aplikasi yang berpotensi berbahaya yang berjalan di VM, seperti software penambangan mata uang kripto dan rootkit mode kernel. Tersedia untuk tingkat layanan Premium dan Enterprise.

Layanan deteksi ini menghasilkan temuan di Security Command Center. Untuk tingkat layanan Premium dan Enterprise (memerlukan aktivasi tingkat organisasi), Anda juga dapat mengonfigurasi ekspor berkelanjutan ke Cloud Logging.

Mengaktifkan deteksi ancaman

Untuk tingkat layanan Premium dan Enterprise, banyak layanan deteksi ancaman diaktifkan secara default. Untuk mengaktifkan atau menonaktifkan layanan bawaan, lihat Mengonfigurasi layanan Security Command Center.