Questo documento descrive le funzionalità di Security Command Center che ti aiutano a rilevare e analizzare le minacce al tuo ambiente cloud.
Panoramica dell'architettura
Security Command Center fornisce il rilevamento delle minacce tramite un approccio a più livelli per colmare le lacune di sicurezza nel tuo ambiente. I rilevatori basati su log, senza agenti e di runtime monitorano le risorse cloud e rilevano attività potenzialmente dannose quasi in tempo reale. Questi rilevatori segnalano questi incidenti come risultati con livelli di gravità assegnati.
Security Command Center fornisce i risultati delle minacce in una piattaforma centrale insieme ad altri risultati di sicurezza per offrirti una visione di alto livello della tua strategia di sicurezza complessiva. Per aiutarti a eseguire il triage dei risultati, Security Command Center raggruppa le minacce strettamente correlate nei problemi di minacce correlate.
Il seguente diagramma illustra il processo di rilevamento delle minacce di Security Command Center.
Livelli di rilevamento delle minacce
Security Command Center organizza il rilevamento delle minacce in tre livelli principali per colmare le lacune nella tua security posture: rilevamento basato su log, rilevamento senza agenti, e rilevamento di runtime.
Rilevamento basato su log
Security Command Center può monitorare e analizzare continuamente gli stream di log della tua organizzazione o dei tuoi progetti per identificare pattern sospetti, indicatori di compromissione (IoC) noti e azioni sensibili.
Event Threat Detection e Sensitive Actions Service forniscono il rilevamento basato su log.
Rilevamento basato su log delle minacce
Event Threat Detection può rilevare attacchi su vari Google Cloud servizi e categorie di risorse, inclusi attacchi basati sull'identità e utilizzo non autorizzato dei servizi. Event Threat Detection monitora quanto segue:
Lo stream di Cloud Logging per la tua organizzazione e i tuoi progetti, come le voci di chiamate API e azioni che creano, leggono o modificano la configurazione o i metadati delle risorse. Ecco alcuni esempi:
- Audit log di Cloud (log delle attività di amministrazione, dell'accesso ai dati e degli eventi di sistema)
- Log di flusso VPC
- Log di Cloud DNS
- Origini log di base
Log di controllo per Google Workspace, che monitorano gli accessi degli utenti al tuo dominio e le azioni eseguite nella Console di amministrazione Google Workspace.
Per un elenco completo dei rilevatori di Event Threat Detection e dei log che analizzano, consulta Regole di Event Threat Detection.
Potresti dover abilitare la raccolta di log specifici, se richiesto dalla tua organizzazione. Per ulteriori informazioni, consulta Tipi di log e requisiti di attivazione.
Rilevamento basato su log delle azioni sensibili
Sensitive Actions Service monitora gli audit log delle attività di amministrazione per rilevare azioni sensibili che potrebbero danneggiare la tua attività se intraprese da un malintenzionato. Per un elenco completo dei rilevatori di Sensitive Actions Service, consulta Risultati di Sensitive Actions Service findings.
Rilevamento senza agenti
Il rilevamento senza agenti esegue la scansione delle macchine virtuali di Compute Engine dall'hypervisor per identificare le applicazioni dannose in esecuzione sulle istanze di macchine virtuali (VM), come gli strumenti di mining di criptovalute e i rootkit in modalità kernel.
Il rilevamento senza agenti opera al di fuori dell'istanza VM guest e non richiede agenti guest, configurazioni speciali del sistema operativo guest o connettività di rete all'interno del guest. Non è necessario installare, gestire o aggiornare il software in una flotta di VM. Poiché il rilevamento senza agenti opera al di fuori dell'istanza VM, rimane non rilevabile per il malware residente all'interno della VM e non consuma cicli di CPU o memoria.
Virtual Machine Threat Detection fornisce il rilevamento senza agenti. Per un elenco completo dei rilevatori di VM Threat Detection, consulta Risultati di Virtual Machine Threat Detection findings.
Rilevamento di runtime
Il rilevamento di runtime rileva le minacce che emergono dopo il deployment in ambienti dinamici. Monitora e valuta continuamente l'attività, le modifiche e i tentativi di accesso remoto all'interno dei container e delle applicazioni serverless in esecuzione per identificare gli attacchi di runtime comuni. Esempi di questi attacchi includono shell inverse, container escape e l'esecuzione di programmi dannosi.
I seguenti servizi forniscono il rilevamento di runtime:
- Container Threat Detection utilizza la strumentazione a livello di kernel per raccogliere e valutare il comportamento nel kernel guest dei nodi GKE.
- Cloud Run Threat Detection monitora le risorse Cloud Run supportate.
- Agent Platform Threat Detection (anteprima) monitora i carichi di lavoro agentici di cui è stato eseguito il deployment in Agent Runtime.
Matrice di categorie di risorse e rilevamento
La seguente tabella mostra le categorie di risorse che Security Command Center può monitorare, esempi di rilevamenti e i livelli di rilevamento disponibili.
| Categoria di risorse | Esempi di minacce rilevate | Livelli di rilevamento |
|---|---|---|
| AI | Esfiltrazione di dati avviata dall'agente, script dannoso eseguito in un carico di lavoro agentico | Runtime, basato su log |
| Amazon EC2 | File dannoso sul disco | Senza agenti |
| Backup e DR | Eliminazione non autorizzata di backup e host RE | Basato su log |
| BigQuery | Esfiltrazione di dati | Basato su log |
| Cloud Run | Shell inverse, esecuzione di strumenti di ricognizione, utilizzo di comandi di cryptomining | Runtime, basato su log |
| Cloud Storage | Modifiche alla configurazione del filtro IP per un bucket | Basato su log |
| Compute Engine | Cryptomining, rootkit in modalità kernel, persistenza del disco di avvio modificata | Senza agenti, basato su log |
| Database | Esfiltrazione di dati, modifiche di superuser alle tabelle utente | Basato su log |
| Google Kubernetes Engine | Esecuzione di file binari dannosi, container escape, avvio di container con privilegi | Runtime, basato su log |
| Google Workspace | Divulgazione di password, pattern di accesso sospetti | Basato su log |
| Identity and Access Management | Concessioni di ruoli anomale, modifiche sensibili alle policy, accesso da Tor | Basato su log |
| Rete | Query DNS di malware, connessioni a indirizzi IP di cryptomining noti | Basato su log |
Origini di threat intelligence
Security Command Center utilizza la threat intelligence da Google Threat Intelligence: una suite di intelligence ad alta fedeltà che raccoglie miliardi di indicatori da prodotti e servizi globali di Google. Google Threat Intelligence identifica indicatori dannosi noti come firme dannose, hash di file e indirizzi e offre i seguenti vantaggi:
- Fedeltà e precisione: riduce al minimo i falsi positivi concentrandosi sulle minacce attive e verificate.
- Miglioramento continuo: utilizza l'intelligence di prima linea proveniente da indagini di risposta agli incidenti nel mondo reale, la telemetria globale, l'intelligence interna e il contesto ottenuto in crowdsourcing su file, URL e domini potenzialmente dannosi per migliorare continuamente la copertura. Per migliorare la raccolta di intelligence, utilizza anche varie tecniche, come i sistemi di esca (noti anche come honeypot).
Prioritizzazione delle minacce
Per aiutarti a identificare le minacce più critiche che richiedono attenzione immediata, Security Command Center assegna un livello di gravità a ogni risultato.
Inoltre, la funzionalità Minacce correlate consolida più risultati correlati in un unico problema per fornire rilevamenti di attività post-exploit con maggiore affidabilità. La funzionalità Minacce correlate visualizza anche la catena di attacchi e mostra come gli eventi si collegano per formare una storia di attacchi completa. Questa catena di attacchi ti aiuta ad anticipare le mosse degli avversari, identificare gli asset compromessi, evidenziare le minacce critiche, ottenere consigli di risposta chiari e accelerare la risposta.
Servizi di rilevamento delle minacce integrati
Questa sezione fornisce un riepilogo dei servizi di rilevamento integrati in Security Command Center. Questi servizi utilizzano tecniche di scansione diverse e operano a livelli diversi per rilevare le minacce nel tuo ambiente cloud.
Agent Platform Threat Detection (anteprima) monitora lo stato degli agenti AI di cui è stato eseguito il deployment in Agent Runtime per rilevare gli attacchi di runtime comuni. Disponibile per i livelli di servizio Premium ed Enterprise.
Il rilevamento di anomalie utilizza indicatori di comportamento dall'esterno del tuo sistema per rilevare anomalie di sicurezza nei tuoi account di servizio, come potenziali credenziali divulgate. Disponibile per i livelli di servizio Standard-legacy, Standard, Premium ed Enterprise.
Cloud Run Threat Detection monitora lo stato delle risorse Cloud Run supportate per rilevare gli attacchi di runtime comuni. Disponibile per i livelli di servizio Premium ed Enterprise.
Container Threat Detection genera risultati raccogliendo e analizzando il comportamento osservato di basso livello nel kernel guest dei container. Disponibile per i livelli di servizio Premium ed Enterprise.
Event Threat Detection produce risultati di sicurezza abbinando gli eventi negli stream di log di Cloud Logging a indicatori di compromissione (IoC) noti, identificando tecniche avversarie note e rilevando anomalie comportamentali. Disponibile per i livelli di servizio Premium ed Enterprise.
Sensitive Actions Service rileva quando vengono intraprese azioni nella tua Google Cloud organizzazione, nelle cartelle e nei progetti che potrebbero danneggiare la tua attività se intraprese da un malintenzionato. Disponibile per i livelli di servizio Standard-legacy, Standard, Premium ed Enterprise.
Virtual Machine Threat Detection esegue la scansione dei progetti e delle istanze VM di Compute Engine per rilevare applicazioni potenzialmente dannose in esecuzione nelle VM, come software di mining di criptovalute e rootkit in modalità kernel. Disponibile per i livelli di servizio Premium ed Enterprise.
Questi servizi di rilevamento generano risultati in Security Command Center. Per i livelli di servizio Premium ed Enterprise (richiede l'attivazione a livello di organizzazione), puoi anche configurare le esportazioni continue in Cloud Logging.
Abilitare il rilevamento delle minacce
Per i livelli di servizio Premium ed Enterprise, molti servizi di rilevamento delle minacce sono abilitati per impostazione predefinita. Per abilitare o disabilitare un servizio integrato, consulta Configurare i servizi di Security Command Center .
Potresti dover abilitare la raccolta di log specifici, se richiesto dalla tua organizzazione. Per ulteriori informazioni, consulta Tipi di log e requisiti di attivazione.
Utilizzare i servizi di rilevamento delle minacce
Per utilizzare i servizi di rilevamento delle minacce integrati, consulta quanto segue:
- Utilizzare Agent Platform Threat Detection
- Utilizzare Cloud Run Threat Detection
- Utilizzare Container Threat Detection
- Utilizzare Event Threat Detection
- Utilizzare Sensitive Actions Service
- Utilizzare Virtual Machine Threat Detection
Invia feedback
Per inviare feedback sulle funzionalità di rilevamento delle minacce di Security Command Center, consulta Inviare feedback tramite la Google Cloud console.
Passaggi successivi
- Esamina l'elenco completo di tutti i tipi di risultati delle minacce.
- Analizza e rispondi a un risultato di minaccia.