Questo documento descrive le funzionalità di Security Command Center che ti aiutano a rilevare e analizzare le minacce al tuo ambiente cloud.
Panoramica dell'architettura
Security Command Center offre il rilevamento delle minacce tramite un approccio a più livelli per colmare le lacune di sicurezza nel tuo ambiente. I rilevatori basati sui log, senza agenti e di runtime monitorano le risorse cloud e rilevano attività potenzialmente dannose quasi in tempo reale. Questi rilevatori segnalano questi incidenti come risultati con livelli di gravità assegnati.
Security Command Center fornisce i risultati relativi alle minacce in una piattaforma centrale insieme ad altri risultati di sicurezza per offrirti una visione di alto livello della tua postura di sicurezza complessiva. Per aiutarti a classificare i risultati, Security Command Center raggruppa le minacce strettamente correlate nei problemi di minacce correlate.
Il seguente diagramma illustra il processo di rilevamento delle minacce di Security Command Center.
Livelli di rilevamento delle minacce
Security Command Center organizza il rilevamento delle minacce in tre livelli principali per aiutarti a colmare le lacune nella tua strategia di sicurezza: rilevamento basato sui log, rilevamento senza agenti e rilevamento in fase di runtime.
Rilevamento basato su log
Security Command Center può monitorare e analizzare continuamente i flussi di log per la tua organizzazione o i tuoi progetti per identificare pattern sospetti, indicatori di compromissione (IoC) noti e azioni sensibili.
Event Threat Detection e Sensitive Actions Service forniscono il rilevamento basato sui log.
Rilevamento delle minacce basato sui log
Event Threat Detection può rilevare attacchi in vari Google Cloud servizi e categorie di risorse, tra cui attacchi basati sull'identità e utilizzo non autorizzato dei servizi. Event Threat Detection monitora quanto segue:
Lo stream Cloud Logging per la tua organizzazione e i tuoi progetti, ad esempio le voci di chiamate API e azioni che creano, leggono o modificano la configurazione o i metadati delle risorse. Alcuni esempi sono:
- Audit log di Cloud (log di attività di amministrazione, accesso ai dati ed eventi di sistema)
- Log di flusso VPC
- Log di Cloud DNS
- Origini log di base
Log di controllo per Google Workspace, che monitorano gli accessi degli utenti al tuo dominio e le azioni eseguite nella Console di amministrazione di Google Workspace.
Per un elenco completo dei rilevatori di Event Threat Detection e dei log che analizzano, consulta Regole di Event Threat Detection.
Potresti dover attivare la raccolta di log specifici, se richiesto dalla tua organizzazione. Per saperne di più, consulta Tipi di log e requisiti di attivazione.
Rilevamento basato sui log di azioni sensibili
Il servizio Azioni sensibili monitora i log di controllo Attività di amministrazione per rilevare azioni sensibili che potrebbero danneggiare la tua attività se intraprese da un utente malintenzionato. Per un elenco completo dei rilevatori del servizio Azioni sensibili, consulta Risultati del servizio Azioni sensibili.
Rilevamento senza agente
Il rilevamento senza agenti esegue la scansione delle tue macchine virtuali Compute Engine dall'hypervisor per identificare le applicazioni dannose in esecuzione sulle tue istanze di macchine virtuali (VM), come gli strumenti di mining di criptovalute e i rootkit in modalità kernel.
Il rilevamento senza agenti opera dall'esterno dell'istanza VM guest e non richiede agenti guest, configurazioni speciali del sistema operativo guest o connettività di rete all'interno del guest. Non è necessario installare, gestire o aggiornare software in un parco di VM. Poiché il rilevamento senza agenti opera al di fuori dell'istanza VM, rimane non rilevabile per il malware residente all'interno della VM e non consuma cicli di CPU o memoria.
Virtual Machine Threat Detection fornisce il rilevamento senza agenti. Per un elenco completo dei rilevatori di VM Threat Detection, consulta Risultati di Virtual Machine Threat Detection.
Rilevamento runtime
Il rilevamento in fase di runtime contrasta le minacce che emergono dopo il deployment in ambienti dinamici. Monitora e valuta continuamente attività, modifiche e tentativi di accesso remoto all'interno di container in esecuzione e applicazioni serverless per identificare attacchi runtime comuni. Esempi di questi attacchi includono reverse shell, container escape e l'esecuzione di programmi dannosi.
I seguenti servizi forniscono il rilevamento in fase di runtime:
- Container Threat Detection utilizza la strumentazione a livello di kernel per raccogliere e valutare il comportamento nel kernel guest dei nodi GKE.
- Cloud Run Threat Detection monitora le risorse Cloud Run supportate.
- Agent Engine Threat Detection (anteprima) monitora i carichi di lavoro degli agenti di cui è stato eseguito il deployment in Vertex AI Agent Engine.
Categoria di risorse e matrice di rilevamento
La tabella seguente mostra le categorie di risorse che Security Command Center può monitorare, esempi di rilevamenti e i livelli di rilevamento disponibili.
| Categoria di risorse | Esempi di minacce rilevate | Livelli di rilevamento |
|---|---|---|
| AI | Esfiltrazione di dati avviata dall'agente, script dannoso eseguito in un carico di lavoro agentico | Runtime, basato su log |
| Amazon EC2 | File dannoso sul disco | Senza agente |
| Backup e DR | Eliminazione non autorizzata di backup e host di RE | Basato sui log |
| BigQuery | Esfiltrazione di dati | Basato sui log |
| Cloud Run | Shell inverse, esecuzione di strumenti di ricognizione, utilizzo di comandi di cryptomining | Runtime, basato su log |
| Cloud Storage | Modifiche alla configurazione del filtro IP per un bucket | Basato sui log |
| Compute Engine | Cryptomining, rootkit in modalità kernel, persistenza del disco di avvio modificato | Senza agente, basato su log |
| Database | Esfiltrazione di dati, modifiche alle tabelle utente da parte del superuser | Basato sui log |
| Google Kubernetes Engine | Esecuzione di file binari dannosi, container escape, avvio di container con privilegi | Runtime, basato su log |
| Google Workspace | Divulgazione di password, pattern di accesso sospetti | Basato sui log |
| Identity and Access Management | Concessioni di ruoli anomale, modifiche sensibili alle norme, accesso da Tor | Basato sui log |
| Rete | Query DNS di malware, connessioni a indirizzi IP di cryptomining noti | Basato sui log |
Fonti di threat intelligence
Security Command Center utilizza la threat intelligence di Google Threat Intelligence: una suite di intelligence ad alta fedeltà che raccoglie miliardi di segnali da tutti i prodotti e servizi globali di Google. Google Threat Intelligence identifica indicatori dannosi noti come firme dannose, hash di file e indirizzi e offre i seguenti vantaggi:
- Fidelizzazione e precisione:riduce al minimo i falsi positivi concentrandosi sulle minacce attive e verificate.
- Miglioramento continuo: utilizza l'intelligence di prima linea proveniente da indagini di risposta agli incidenti del mondo reale, la telemetria globale, l'intelligence interna e il contesto ottenuto in crowdsourcing su file, URL e domini potenzialmente dannosi per migliorare continuamente la copertura. Per migliorare la raccolta di informazioni, utilizza anche varie tecniche, come i sistemi esca (noti anche come honeypot).
Prioritizzazione delle minacce
Per aiutarti a identificare le minacce più critiche che richiedono attenzione immediata, Security Command Center assegna un livello di gravità a ogni risultato.
Inoltre, la funzionalità Minacce correlate consolida più risultati correlati in un unico problema per fornire rilevamenti più affidabili dell'attività post-exploit. La funzionalità Minacce correlate visualizza anche la catena di attacco e mostra come gli eventi si collegano per formare una storia di attacco completa. Questa catena di attacco ti aiuta ad anticipare le mosse dell'avversario, identificare gli asset compromessi, evidenziare le minacce critiche, ricevere consigli di risposta chiari e accelerare la tua risposta.
Servizi di rilevamento delle minacce integrati
Questa sezione fornisce un riepilogo dei servizi di rilevamento integrati in Security Command Center. Questi servizi utilizzano diverse tecniche di scansione e operano a diversi livelli per rilevare le minacce nel tuo ambiente cloud.
Agent Engine Threat Detection (anteprima) monitora lo stato degli agenti AI di cui è stato eseguito il deployment nel runtime di Vertex AI Agent Engine per rilevare attacchi runtime comuni. Disponibile per i livelli di servizio Premium ed Enterprise.
Rilevamento delle anomalie utilizza indicatori di comportamento esterni al sistema per rilevare anomalie di sicurezza negli account di servizio, ad esempio potenziali credenziali compromesse. Disponibile per i livelli di servizio Standard, Premium ed Enterprise.
Cloud Run Threat Detection monitora lo stato delle risorse Cloud Run supportate per rilevare attacchi runtime comuni. Disponibile per i livelli di servizio Premium ed Enterprise.
Container Threat Detection genera risultati raccogliendo e analizzando il comportamento osservato di basso livello nel kernel guest dei container. Disponibile per i livelli di servizio Premium ed Enterprise.
Event Threat Detection genera risultati di sicurezza abbinando gli eventi nei flussi di log di Cloud Logging a indicatori di compromissione (IoC) noti, identificando tecniche ostili note e rilevando anomalie comportamentali. Disponibile per i livelli di servizio Premium ed Enterprise.
Il servizio Azioni sensibili rileva quando vengono intraprese azioni nella tua organizzazione, nelle tue cartelle e nei tuoi progetti di Google Cloud che potrebbero danneggiare la tua attività se intraprese da un attore malintenzionato. Disponibile per i livelli di servizio Standard, Premium ed Enterprise.
Virtual Machine Threat Detection esegue la scansione dei progetti e delle istanze VM di Compute Engine per rilevare applicazioni potenzialmente dannose in esecuzione nelle VM, come software di mining di criptovalute e rootkit in modalità kernel. Disponibile per i livelli di servizio Premium ed Enterprise.
Questi servizi di rilevamento generano risultati in Security Command Center. Per i livelli di servizio Premium ed Enterprise (richiede l'attivazione a livello di organizzazione), puoi anche configurare le esportazioni continue in Cloud Logging.
Abilitare il rilevamento delle minacce
Per i livelli di servizio Premium ed Enterprise, molti servizi di rilevamento delle minacce sono abilitati per impostazione predefinita. Per abilitare o disabilitare un servizio integrato, consulta Configura i servizi di Security Command Center.
Potresti dover attivare la raccolta di log specifici, se richiesto dalla tua organizzazione. Per saperne di più, consulta Tipi di log e requisiti di attivazione.
Utilizzare i servizi di rilevamento delle minacce
Per utilizzare i servizi di rilevamento delle minacce integrati, consulta quanto segue:
- Utilizzare Agent Engine Threat Detection
- Utilizzare Cloud Run Threat Detection
- Utilizzare Container Threat Detection
- Utilizzare Event Threat Detection
- Utilizzare il servizio di azioni sensibili
- Utilizzare Virtual Machine Threat Detection
Invia feedback
Per inviare feedback sulle funzionalità di rilevamento delle minacce di Security Command Center, consulta Inviare feedback tramite la consoleGoogle Cloud .
Passaggi successivi
- Consulta l'elenco completo di tutti i tipi di rilevamento delle minacce.
- Analizza e rispondi a un risultato di minaccia.