Este documento descreve os recursos do Security Command Center que ajudam a detectar e investigar ameaças ao seu ambiente de nuvem.
Visão geral da arquitetura
O Security Command Center oferece detecção de ameaças com uma abordagem de várias camadas para resolver falhas de segurança no seu ambiente. Os detectores baseados em registros, sem agente e de tempo de execução monitoram seus recursos na nuvem e detectam atividades potencialmente mal-intencionadas quase em tempo real. Esses detectores informam esses incidentes como descobertas com níveis de gravidade atribuídos.
O Security Command Center fornece as descobertas de ameaças em uma plataforma central, além de outras descobertas de segurança, para oferecer uma visão geral da sua postura de segurança. Para ajudar você a classificar as descobertas, o Security Command Center agrupa ameaças estreitamente relacionadas em problemas de ameaças correlacionadas.
O diagrama a seguir ilustra o processo de detecção de ameaças do Security Command Center.
Camadas de detecção de ameaças
O Security Command Center organiza a detecção de ameaças em três camadas principais para ajudar a resolver lacunas na sua postura de segurança: detecção baseada em registros, detecção sem agente e detecção de tempo de execução.
Detecção com base em registros
O Security Command Center pode monitorar e analisar continuamente os streams de registros da sua organização ou projetos para identificar padrões suspeitos, indicadores conhecidos de comprometimento (IoCs) e ações sensíveis.
O Event Threat Detection e o Serviço de ações sensíveis oferecem detecção com base em registros.
Detecção de ameaças com base em registros
O Event Threat Detection pode detectar ataques em vários Google Cloud serviços e categorias de recursos, incluindo ataques baseados em identidade e uso não autorizado de serviços. O Event Threat Detection monitora o seguinte:
O fluxo do Cloud Logging para sua organização e projetos, como entradas de chamadas de API e ações que criam, leem ou modificam a configuração ou os metadados dos recursos. Os exemplos incluem:
- Registros de auditoria do Cloud (registros de atividade do administrador, acesso a dados e eventos do sistema)
- Registros de fluxo de VPC
- Registros do Cloud DNS
- Fontes de registros fundamentais
Registros de auditoria do Google Workspace, que rastreiam os logins de usuários no seu domínio e as ações realizadas no Admin Console do Google Workspace.
Para uma lista completa de detectores do Event Threat Detection e os registros que eles analisam, consulte Regras do Event Threat Detection.
Talvez seja necessário ativar a coleta de registros específicos, se exigido pela sua organização. Para mais informações, consulte Tipos de registro e requisitos de ativação.
Detecção de ações sensíveis com base em registros
O Serviço de ações sensíveis monitora os registros de auditoria de atividade do administrador para detectar ações sensíveis que podem prejudicar sua empresa se forem realizadas por uma pessoa mal-intencionada. Para uma lista completa dos detectores do Serviço de ações sensíveis, consulte Descobertas do Serviço de ações sensíveis.
Detecção sem agente
A detecção sem agente verifica suas máquinas virtuais do Compute Engine no hipervisor para identificar aplicativos mal-intencionados em execução nas instâncias de máquina virtual (VM), como ferramentas de mineração de criptomoedas e rootkits no modo kernel.
A detecção sem agente opera de fora da instância da VM convidada e não exige agentes convidados, configurações especiais do SO convidado ou conectividade de rede no convidado. Não é necessário instalar, gerenciar ou atualizar softwares em uma frota de VMs. Como a detecção sem agente opera fora da instância da VM, ela permanece indetectável para malware residente na VM e não consome ciclos de CPU nem memória.
A Detecção de ameaças a máquinas virtuais oferece detecção sem agente. Para uma lista completa de detectores da detecção de ameaças a máquinas virtuais, consulte Descobertas da detecção de ameaças a máquinas virtuais.
Detecção do ambiente de execução
A detecção de tempo de execução aborda ameaças que surgem após a implantação em ambientes dinâmicos. Ele monitora e avalia continuamente a atividade, as mudanças e as tentativas de acesso remoto em contêineres em execução e aplicativos sem servidor para identificar ataques comuns de ambiente de execução. Exemplos desses ataques incluem shells reversos, escapes de contêineres e a execução de programas maliciosos.
Os serviços a seguir oferecem detecção de tempo de execução:
- O Detecção de Ameaças em Contêiner usa a instrumentação no nível do kernel para coletar e avaliar o comportamento no kernel convidado dos nós do GKE.
- A detecção de ameaças do Cloud Run monitora recursos compatíveis do Cloud Run.
- A detecção de ameaças do Agent Engine (prévia) monitora cargas de trabalho de agentes implantadas no Vertex AI Agent Engine.
Categoria de recursos e matriz de detecção
A tabela a seguir mostra as categorias de recursos que o Security Command Center pode monitorar, exemplos de detecções e as camadas de detecção disponíveis.
| Categoria do recurso | Exemplos de ameaças detectadas | Camadas de detecção |
|---|---|---|
| IA | Exfiltração de dados iniciada por um agente, execução de script malicioso em uma carga de trabalho com agentes | Tempo de execução, com base em registros |
| Amazon EC2 | Arquivo mal-intencionado em disco | Sem agente |
| Backup e DR | Exclusão não autorizada de backups e hosts de DR | Com base em registros |
| BigQuery | Exfiltração de dados | Com base em registros |
| Cloud Run | Shells inversos, execução de ferramentas de reconhecimento, uso de comandos de criptomineração | Tempo de execução, com base em registros |
| Cloud Storage | Modificações na configuração de filtragem de IP de um bucket | Com base em registros |
| Compute Engine | Criptomineração, rootkits no modo kernel, persistência de disco de inicialização modificado | Sem agente, com base em registros |
| banco de dados | Exfiltração de dados, modificações de superusuário em tabelas de usuários | Com base em registros |
| Google Kubernetes Engine | Execução de binários maliciosos, escape de contêineres, lançamento de contêineres privilegiados | Tempo de execução, com base em registros |
| Google Workspace | Vazamentos de senha, padrões de login suspeitos | Com base em registros |
| Identity and Access Management | Concessões de papéis anômalas, mudanças sensíveis na política, acesso do Tor | Com base em registros |
| Rede | Consultas de DNS de malware, conexões com endereços IP de criptomineração conhecidos | Com base em registros |
Fontes de inteligência contra ameaças
O Security Command Center usa a inteligência contra ameaças do Google Threat Intelligence, um pacote de inteligência de alta fidelidade que coleta bilhões de indicadores dos produtos e serviços globais do Google. O Google Threat Intelligence identifica indicadores maliciosos conhecidos, como assinaturas, hashes de arquivos e endereços maliciosos, e oferece os seguintes benefícios:
- Fidelidade e precisão:minimiza os falsos positivos ao se concentrar em ameaças ativas e verificadas.
- Melhoria contínua:usa inteligência de linha de frente de investigações de resposta a incidentes do mundo real, telemetria global, inteligência interna e contexto de crowdsourcing em arquivos, URLs e domínios potencialmente maliciosos para melhorar continuamente a cobertura. Para melhorar a coleta de informações, ele também usa várias técnicas, como sistemas de chamariz (também conhecidos como honeypots).
Priorização de ameaças
Para ajudar você a identificar as ameaças mais críticas que exigem atenção imediata, o Security Command Center atribui um nível de gravidade a cada descoberta.
Além disso, o recurso Ameaças correlacionadas consolida várias descobertas relacionadas em um único problema para fornecer detecções de atividade pós-exploração com maior confiança. O recurso "Ameaças correlacionadas" também mostra a cadeia de ataque e como os eventos se conectam para formar uma história completa de ataque. Essa cadeia de ataque ajuda você a antecipar as ações do adversário, identificar recursos comprometidos, destacar ameaças críticas, receber recomendações claras de resposta e acelerar sua resposta.
Serviços integrados de detecção de ameaças
Esta seção oferece um resumo dos serviços de detecção integrados no Security Command Center. Esses serviços usam diferentes técnicas de verificação e operam em camadas diferentes para detectar ameaças no seu ambiente de nuvem.
A detecção de ameaças do Agent Engine (pré-lançamento) monitora o estado dos agentes de IA implantados no ambiente de execução do Vertex AI Agent Engine para detectar ataques comuns no ambiente de execução. Disponível para os níveis de serviço Premium e Enterprise.
A detecção de anomalias usa sinais de comportamento de fora do sistema para detectar anomalias de segurança nas suas contas de serviço, como possíveis credenciais vazadas. Disponível para os níveis de serviço Standard, Premium e Enterprise.
A detecção de ameaças do Cloud Run monitora o estado dos recursos compatíveis do Cloud Run para detectar ataques comuns de ambiente de execução. Disponível para os níveis de serviço Premium e Enterprise.
O Detecção de Ameaças em Contêiner gera descobertas coletando e analisando o comportamento observado de baixo nível no kernel convidado dos contêineres. Disponível para os níveis de serviço Premium e Enterprise.
A Event Threat Detection produz descobertas de segurança combinando eventos nos fluxos de registros do Cloud Logging com indicadores de comprometimento (IoCs) conhecidos, identificando técnicas adversárias conhecidas e detectando anomalias comportamentais. Disponível para os níveis de serviço Premium e Enterprise.
O Serviço de ações sensíveis detecta quando ações na sua organização, pastas e projetos do Google Cloud podem prejudicar sua empresa se forem realizadas por uma pessoa mal-intencionada. Disponível para os níveis de serviço Standard, Premium e Enterprise.
A Detecção de ameaças a máquinas virtuais verifica projetos do Compute Engine e instâncias de VM para detectar aplicativos potencialmente maliciosos em execução em VMs, como software de mineração de criptomoedas e rootkits no modo kernel. Disponível para os níveis de serviço Premium e Enterprise.
Esses serviços de detecção geram descobertas no Security Command Center. Para os níveis de serviço Premium e Enterprise (requer ativação no nível da organização), também é possível configurar exportações contínuas para o Cloud Logging.
Ativar a detecção de ameaças
Para os níveis de serviço Premium e Enterprise, muitos serviços de detecção de ameaças são ativados por padrão. Para ativar ou desativar um serviço integrado, consulte Configurar serviços do Security Command Center.
Talvez seja necessário ativar a coleta de registros específicos, se exigido pela sua organização. Para mais informações, consulte Tipos de registro e requisitos de ativação.
Trabalhar com serviços de detecção de ameaças
Para trabalhar com os serviços integrados de detecção de ameaças, consulte o seguinte:
- Usar a Detecção de ameaças do Agent Engine
- Usar a detecção de ameaças do Cloud Run
- Usar a Detecção de Ameaças em Contêiner
- Usar o Event Threat Detection
- Usar o Serviço de ações sensíveis
- Usar a Detecção de ameaças a máquinas virtuais
Enviar feedback
Para enviar feedback sobre os recursos de detecção de ameaças do Security Command Center, consulte Enviar feedback pelo console doGoogle Cloud .
A seguir
- Confira a lista completa de todos os tipos de descobertas de ameaças.
- Investigue e responda a uma descoberta de ameaça.