Security Command Center 中的威脅偵測

本文說明 Security Command Center 的功能，可協助您偵測及調查雲端環境的威脅。

架構總覽

Security Command Center 採用多層式方法偵測威脅，可解決環境中的安全漏洞。以記錄檔為基礎的無代理程式執行階段偵測器會監控雲端資源，並以近乎即時的方式偵測潛在的惡意活動。這些偵測器會將事件回報為發現項目，並指派嚴重性等級。

Security Command Center 會在中央平台提供威脅發現項目和其他安全性發現項目，讓您全面掌握整體安全狀態。為協助您分類發現項目，Security Command Center 會將密切相關的威脅歸類為「相關威脅」問題。

下圖說明 Security Command Center 的威脅偵測程序。

Security Command Center 威脅偵測架構。

威脅偵測層

Security Command Center 會將威脅偵測分為三個主要層級，協助您解決安全防護機制中的缺口：以記錄為基礎的偵測、無代理程式偵測和執行階段偵測。

以記錄為基礎的偵測

Security Command Center 可以持續監控及分析貴機構或專案的記錄檔串流，找出可疑模式、已知的入侵指標 (IoC) 和敏感動作。

Event Threat Detection 和敏感動作服務提供以記錄為基礎的偵測功能。

根據記錄偵測威脅

Event Threat Detection 可偵測各種 Google Cloud 服務和資源類別的攻擊，包括身分識別攻擊和未經授權的服務使用情形。Event Threat Detection 會監控下列項目：

機構和專案的 Cloud Logging 串流，例如建立、讀取或修改資源設定或中繼資料的 API 呼叫和動作項目。例如：
- Cloud 稽核記錄 (管理員活動、資料存取和系統事件記錄)
- 虛擬私有雲流量記錄
- Cloud DNS 記錄
- 基礎記錄來源
Google Workspace 的稽核記錄：追蹤使用者登入網域的活動，以及在 Google Workspace 管理控制台執行的動作。

如需 Event Threat Detection 偵測工具的完整清單，以及這些工具分析的記錄，請參閱「Event Threat Detection 規則」。

如果貴機構有相關需求，您可能需要啟用特定記錄的收集作業。詳情請參閱「記錄類型和啟用條件」。

根據記錄檔偵測敏感操作

敏感動作服務會監控管理員活動稽核記錄，偵測惡意人士可能對貴商家造成損害的敏感動作。如需敏感動作服務偵測工具的完整清單，請參閱「敏感動作服務發現項目」。

免代理程式偵測

無代理程式偵測功能會從管理程序掃描 Compute Engine 虛擬機器，找出在虛擬機器 (VM) 執行個體上執行的惡意應用程式，例如加密貨幣挖礦工具和核心模式 Rootkit。

不需代理程式的偵測作業會在客體 VM 執行個體外部進行，不需要客體代理程式、特殊的客體 OS 設定，或客體內的網路連線。您不需要在 VM 叢集中安裝、管理或更新軟體。由於不需代理程式的偵測作業是在 VM 執行個體外部進行，因此 VM 內部的惡意軟體無法偵測到，且不會耗用 CPU 週期或記憶體。

Virtual Machine Threat Detection 提供無代理程式偵測功能。如需 VM 威脅偵測偵測工具的完整清單，請參閱「Virtual Machine Threat Detection 發現項目」。

執行階段偵測

執行階段偵測可解決動態環境中部署後出現的威脅。這項服務會持續監控及評估執行中容器和無伺服器應用程式內的活動、變更和遠端存取嘗試，以找出常見的執行階段攻擊。這類攻擊包括反向 Shell、容器逸出和執行惡意程式。

下列服務提供執行階段偵測功能：

Container Threat Detection 會使用核心層級的檢測功能，收集及評估 GKE 節點訪客核心中的行為。
Cloud Run Threat Detection 會監控支援的 Cloud Run 資源。
Agent Engine 威脅偵測 (預先發布版) 會監控部署至 Vertex AI Agent Engine 的代理工作負載。

資源類別和偵測矩陣

下表列出 Security Command Center 可監控的資源類別、偵測範例，以及可用的偵測層。

資源類別	偵測到的威脅示例	偵測層
AI	代理程式啟動資料竊取作業，在代理工作負載中執行惡意指令碼	執行階段記錄
Amazon EC2	磁碟上的惡意檔案	無代理程式
備份和災難復原	未經授權刪除備份和 DR 主機	記錄式
BigQuery	資料竊取	記錄式
Cloud Run	反向 Shell、執行偵察工具、使用加密貨幣挖礦指令	執行階段記錄
Cloud Storage	修改 bucket 的 IP 過濾設定	記錄式
Compute Engine	加密貨幣挖礦、核心模式 Rootkit、修改過的開機磁碟持續性	免用代理程式，以記錄為準
資料庫	資料外洩、超級使用者修改使用者表格	記錄式
Google Kubernetes Engine	執行惡意二進位檔、容器跳脫、啟動具備特殊權限的容器	執行階段記錄
Google Workspace	密碼外洩、可疑登入模式	記錄式
Identity and Access Management	異常角色授予、敏感政策變更、透過 Tor 存取	記錄式
網路	惡意軟體 DNS 查詢、連線至已知的加密貨幣挖礦 IP 位址	記錄式

威脅情報來源

Security Command Center 會使用 Google 威脅情報的威脅情報：這套高準確度的情報套件會從 Google 全球產品和服務收集數十億個信號。Google Threat Intelligence 會找出已知的惡意指標，例如惡意簽章、檔案雜湊值和位址，並提供下列優點：

準確度和精確度：專注於主動且經過驗證的威脅，盡量減少誤判。
持續改進：運用來自真實事件回應調查的前線情報、全球遙測資料、內部情報，以及集結群眾力量的潛在惡意檔案、網址和網域情境，持續提升涵蓋範圍。為加強情報蒐集，還會使用各種技術，例如誘餌系統 (又稱蜜罐)。

決定威脅優先處理順序

為協助您找出最嚴重的威脅並立即採取行動，Security Command Center 會為每項發現指派嚴重程度。

此外，「關聯威脅」功能會將多個相關發現項目整合成單一「問題」，以更高信賴度偵測到利用漏洞後發生的活動。「相關威脅」功能也會以視覺化方式呈現攻擊鏈，並顯示事件如何連結，形成完整的攻擊故事。這條攻擊鏈可協助您預測對手的行動、找出遭入侵的資產、突顯重大威脅、取得明確的回應建議，並加快回應速度。

內建威脅偵測服務

本節將摘要說明 Security Command Center 的內建偵測服務。這些服務會使用不同的掃描技術，並在不同層級運作，偵測雲端環境中的威脅。

Agent Engine 威脅偵測 (搶先版) 會監控部署至 Vertex AI Agent Engine 執行階段的 AI 代理狀態，偵測常見的執行階段攻擊。適用於 Premium 和 Enterprise 服務層級。
異常偵測會使用您系統以外的行為信號，偵測服務帳戶中的安全性異常狀況，例如憑證可能遭到外洩。適用於 Standard、Premium 和 Enterprise 服務層級。
Cloud Run Threat Detection 會監控支援的 Cloud Run 資源狀態，偵測常見的執行階段攻擊。適用於 Premium 和 Enterprise 服務層級。
Container Threat Detection 會收集及分析容器訪客核心中觀察到的低層級行為，藉此產生發現項目。適用於 Premium 和 Enterprise 服務層級。
Event Threat Detection 會比對 Cloud Logging 記錄串流中的事件與已知的入侵指標 (IoC)，找出已知的敵對技術，並偵測行為異常，藉此產生安全發現結果。適用於 Premium 和 Enterprise 服務層級。
敏感動作服務會偵測 Google Cloud 機構、資料夾和專案中執行的動作，如果這些動作是由惡意行為人執行，可能會對貴商家造成損害。適用於 Standard、Premium 和 Enterprise 服務層級。
虛擬機器威脅偵測會掃描 Compute Engine 專案和 VM 執行個體，偵測 VM 中執行的潛在惡意應用程式，例如加密貨幣挖礦軟體和核心模式 Rootkit。適用於 Premium 和 Enterprise 服務層級。

這些偵測服務會在 Security Command Center 中產生發現項目。如果您使用「進階」和「企業」服務層級 (需要啟用機構層級設定)，也可以設定持續匯出至 Cloud Logging。

啟用威脅偵測功能

對於 Premium 和 Enterprise 服務層級，系統預設會啟用許多威脅偵測服務。如要啟用或停用內建服務，請參閱「設定 Security Command Center 服務」。