Security Command Center 中的威胁检测

本文档介绍了 Security Command Center 的功能，这些功能可帮助您检测和调查云环境中的威胁。

架构概览

Security Command Center 通过多层方法提供威胁检测，以弥合环境中的安全缺口。基于日志、无代理且在运行时运行的检测器会监控您的云资源，并近乎实时地检测潜在的恶意活动。这些检测器会将这些事件报告为具有指定严重程度级别的发现结果。

Security Command Center 会在一个中心平台上提供威胁发现结果以及其他安全发现结果，以便您大致了解自己的整体安全状况。为了帮助您确定发现结果的优先级，Security Command Center 会将任何密切相关的威胁归为关联威胁问题。

下图展示了 Security Command Center 的威胁检测流程。

Security Command Center 威胁检测的架构。

威胁检测层

Security Command Center 将威胁检测分为三个主要层级，以帮助弥补安全状况方面的不足：基于日志的检测、无代理检测和运行时检测。

基于日志的检测

Security Command Center 可以持续监控和分析组织或项目的日志流，以识别可疑模式、已知的失陷指标 (IoC) 和敏感操作。

Event Threat Detection 和 Sensitive Actions Service 提供基于日志的检测。

基于日志的威胁检测

Event Threat Detection 可以检测各种 Google Cloud 服务和资源类别中的攻击，包括基于身份的攻击和未经授权的服务使用。Event Threat Detection 会监控以下内容：

组织和项目的 Cloud Logging 流，例如创建、读取或修改资源配置或元数据的 API 调用和操作条目。示例如下：
- Cloud Audit Logs（管理员活动日志、数据访问日志和系统事件日志）
- VPC 流日志
- Cloud DNS 日志
- 基础日志源
Google Workspace 的审核日志，用于跟踪用户在您网域中的登录情况以及在 Google Workspace 管理员控制台中执行的操作。

如需查看 Event Threat Detection 检测器及其分析的日志的完整列表，请参阅 Event Threat Detection 规则。

如果组织有要求，您可能需要启用特定日志的收集。如需了解详情，请参阅日志类型和激活要求。

基于日志的敏感操作检测

敏感操作服务会监控管理员活动审核日志，以检测如果由恶意方执行可能会损害您业务的敏感操作。如需查看 Sensitive Actions Service 检测器的完整列表，请参阅 Sensitive Actions Service 发现结果。

无代理检测

无代理检测功能可从 Hypervisor 扫描 Compute Engine 虚拟机，以识别在虚拟机 (VM) 实例上运行的恶意应用，例如加密货币挖矿工具和内核模式 rootkit。

无代理检测在客机虚拟机实例外部运行，不需要客机代理、特殊的客机操作系统配置或客机内的网络连接。您无需在一组虚拟机中安装、管理或更新软件。由于无代理检测在虚拟机实例外部运行，因此虚拟机内的恶意软件无法检测到它，并且它不会消耗 CPU 周期或内存。

虚拟机威胁检测提供无代理检测。如需查看 VM Threat Detection 检测器的完整列表，请参阅Virtual Machine Threat Detection 发现结果。

运行时检测

运行时检测可应对在动态环境中部署后出现的威胁。它会持续监控和评估运行中的容器和无服务器应用内的活动、更改和远程访问尝试，以识别常见的运行时攻击。这些攻击的示例包括反向 shell、容器逃逸和执行恶意程序。

以下服务提供运行时检测：

Container Threat Detection 使用内核级插桩来收集和评估 GKE 节点客机内核中的行为。
Cloud Run 威胁检测会监控受支持的 Cloud Run 资源。
Agent Engine 威胁检测（预览版）会监控部署到 Vertex AI Agent Engine 的代理工作负载。

资源类别和检测矩阵

下表列出了 Security Command Center 可以监控的资源类别、检测示例以及可用的检测层。

资源类别	检测到的威胁示例	检测层
AI	代理发起的数据渗漏，在智能体工作负载中执行的恶意脚本	运行时、基于日志
Amazon EC2	磁盘上的恶意文件	无代理
Backup and DR	未经授权删除备份和 DR 主机	基于日志
BigQuery	数据渗漏	基于日志
Cloud Run	反向 shell、侦察工具执行、加密货币挖矿命令使用	运行时、基于日志
Cloud Storage	存储桶的 IP 过滤配置中的修改	基于日志
Compute Engine	加密货币挖矿、内核模式 rootkit、修改的启动磁盘持久性	无代理、基于日志
数据库	数据渗漏，超级用户对用户表的修改	基于日志
Google Kubernetes Engine	恶意二进制文件执行、容器逃逸、启动特权容器	运行时、基于日志
Google Workspace	密码泄露、可疑登录模式	基于日志
Identity and Access Management	异常的角色授予、敏感的政策更改、通过 Tor 进行的访问	基于日志
网络	恶意软件 DNS 查询、与已知加密挖矿 IP 地址的连接	基于日志

威胁情报来源

Security Command Center 使用 Google Threat Intelligence 中的威胁情报：这是一套高保真情报套件，可从 Google 的全球产品和服务中收集数十亿个信号。Google Threat Intelligence 可识别已知的恶意指标，例如恶意签名、文件哈希和地址，并提供以下优势：

保真度和精确率：通过专注于主动威胁和已验证的威胁来最大限度地减少假正例。
持续改进：利用来自真实突发事件响应调查的一线情报、全球遥测数据、内部情报以及有关潜在恶意文件、网址和网域的众包背景信息，持续改进覆盖范围。为了增强情报收集能力，它还使用各种技术，例如诱饵系统（也称为蜜罐）。

威胁优先级

为帮助您识别需要立即处理的最严重威胁，Security Command Center 会为每个发现结果分配严重程度。

此外，关联威胁功能会将多个相关发现结果整合为一个问题，以便更可靠地检测到利用后的活动。关联威胁功能还会直观呈现攻击链，并显示事件之间的关联，帮助您了解完整的攻击过程。此攻击链有助于您预测攻击者的行动、识别遭入侵的资产、突出显示严重威胁、获得清晰的响应建议，并加快响应速度。

内置威胁检测服务

本部分简要介绍了 Security Command Center 中的内置检测服务。这些服务使用不同的扫描技术，并在不同的层运行，以检测云环境中的威胁。

Agent Engine 威胁检测（预览版）会监控部署到 Vertex AI Agent Engine 运行时的 AI 代理的状态，以检测常见的运行时攻击。适用于高级和企业服务层级。
异常值检测使用来自系统外部的行为信号来检测服务账号中的安全异常值情况，例如潜在的凭证泄露。适用于标准、高级和企业服务层级。
Cloud Run 威胁检测会监控受支持的 Cloud Run 资源的状态，以检测常见的运行时攻击。适用于高级和企业服务层级。
Container Threat Detection 通过收集和分析容器客机内核中观察到的低级行为来生成发现结果。适用于高级和企业服务层级。
Event Threat Detection 通过将 Cloud Logging 日志流中的事件与已知违规线索 (IoC) 进行匹配、识别已知对抗技术以及检测行为异常，来生成安全性发现结果。适用于高级和企业服务层级。
敏感操作服务可检测何时在 Google Cloud 组织、文件夹和项目中执行了可能会损害业务的操作（如果这些操作是由恶意方执行的）。适用于标准、高级和企业服务层级。
Virtual Machine Threat Detection 可扫描 Compute Engine 项目和虚拟机实例以检测虚拟机中运行的潜在恶意应用，例如加密货币挖矿软件和内核模式 rootkit。适用于高级和企业服务层级。

这些检测服务会在 Security Command Center 中生成发现结果。对于高级和 Enterprise 服务层级（需要组织级层激活），您还可以配置持续导出到 Cloud Logging。

启用威胁检测

对于高级服务层级和 Enterprise 服务层级，许多威胁检测服务默认处于启用状态。如需启用或停用内置服务，请参阅配置 Security Command Center 服务。