Questo documento nel Framework dell'architettura Google Cloud fornisce le best practice per implementare la registrazione e i controlli di rilevamento.
I controlli investigativi usano la telemetria per rilevare errori di configurazione, vulnerabilità e potenzialmente dannose in un ambiente cloud. Google Cloud consente di creare controlli di monitoraggio e rilevamento personalizzati per il tuo ambiente. In questa sezione vengono descritte le funzionalità aggiuntive e i consigli per i loro per gli utilizzi odierni.
Monitorare le prestazioni della rete
Centro Network Intelligence Center ti offre visibilità sulle prestazioni della topologia e dell'architettura di rete l'efficienza operativa. Puoi ottenere approfondimenti dettagliati sulle prestazioni della rete, quindi utilizzare queste informazioni per ottimizzare il deployment eliminando i colli di bottiglia i servizi di machine learning. Test di connettività fornisce insight sulle regole e sui criteri firewall applicati al percorso di rete.
Monitorare e prevenire l'esfiltrazione dei dati.
L'esfiltrazione di dati è una preoccupazione fondamentale per le organizzazioni. In genere, si verifica quando una persona autorizzata estrae i dati da un sistema protetto e poi li condivide dati con una parte non autorizzata o li spostano in un sistema non sicuro.
Google Cloud offre diversi strumenti e funzionalità che ti consentono di rilevare e impedire l'esfiltrazione di dati. Per ulteriori informazioni, vedi Prevenire l'esfiltrazione di dati.
Centralizza il monitoraggio
Security Command Center offre visibilità sulle risorse di Google Cloud al loro stato di sicurezza. Security Command Center ti aiuta a prevenire, rilevare e rispondere alle minacce. Fornisce una dashboard centralizzata utile per identificare gli errori di configurazione della sicurezza nelle macchine virtuali, nelle reti, applicazioni e nei bucket di archiviazione. Puoi risolvere questi problemi prima che causino danni o perdite all'azienda. Le funzionalità integrate di Security Command Center possono rilevare attività sospette nei log di sicurezza di Cloud Logging o indicare di macchine virtuali compromesse.
Puoi rispondere alle minacce seguendo consigli attuabili oppure esportando i log SIEM sistema per ulteriori indagini. Per informazioni sull'utilizzo di un sistema SIEM con per Google Cloud, consulta Analisi dei log di sicurezza in Google Cloud.
Security Command Center fornisce inoltre più rilevatori che ti aiutano ad analizzare la sicurezza della tua infrastruttura. Questi rilevatori includono:
Altri servizi Google Cloud, come i log di Google Cloud Armor, fornisce anche risultati da visualizzare in Security Command Center.
Abilita i servizi di cui hai bisogno per i tuoi carichi di lavoro, quindi monitora e analizzare dati importanti. Per ulteriori informazioni sull'abilitazione del logging nei servizi, consulta i log di attivazione in Analisi dei log di sicurezza in Google Cloud.
Monitora le minacce
Rilevamento delle minacce di eventi è un servizio gestito opzionale di Security Command Center Premium che rileva le minacce nel flusso di log. Utilizzando Event Threat Detection, puoi rilevare e minacce costose come malware, cryptomining, accessi non autorizzati Risorse Google Cloud, attacchi DDoS e attacchi di forza bruta SSH. Utilizzo le funzionalità dello strumento per sintetizzare volumi di dati di log, i team di sicurezza possono identificare rapidamente gli incidenti ad alto rischio e concentrarsi sulla correzione.
Per rilevare più account utente potenzialmente compromessi nella tua organizzazione, usa i log di Cloud Platform per le azioni sensibili per identificare quando vengono intraprese azioni sensibili e per confermare che utenti validi ha eseguito queste azioni per scopi validi. Un'azione sensibile è un'azione come l'aggiunta di un ruolo con privilegi elevati, se un utente malintenzionato intraprendesse l'azione, potrebbe danneggiare la tua azienda. Usa Cloud Logging per visualizzare, monitor, e query i log di Cloud Platform per le azioni sensibili. Puoi anche visualizzare i dati sensibili voci di log delle azioni con il servizio per le azioni sensibili, un servizio integrato di Security Command Center Premium.
Operazioni di sicurezza di Google consente di archiviare e analizzare centralmente tutti i dati di sicurezza. Per aiutarti per vedere l'intero arco di un attacco, Google SecOps può mappare i log in una modello comune, arricchiscili e collegali tra loro in linee temporali. Inoltre, puoi utilizzare Google SecOps per creare regole di rilevamento, degli indicatori di corrispondenza di compromissione (IoC) ed eseguire la ricerca delle minacce attività. Scrivi le regole di rilevamento nel Lingua YARA-L. Per una minaccia di esempio regole di rilevamento dei dati in YARA-L, consulta il documento Community Security Analytics (CSA) repository Git. Oltre a scrivere regole personalizzate, puoi sfruttare rilevamenti selezionati in Google SecOps. Questi rilevamenti selezionati sono un insieme di regole YARA-L predefinite e gestite che può aiutarti a identificare le minacce.
Un'altra opzione per centralizzare i log per l'analisi della sicurezza, controllo e indagine consiste nell'utilizzare BigQuery. In BigQuery, monitori le minacce più comuni errori di configurazione mediante query SQL (come quelle nel repository CSA) per analizzare modifiche alle autorizzazioni, attività di provisioning, utilizzo dei carichi di lavoro, dati l'accesso e l'attività di rete. Per ulteriori informazioni sull'analisi dei log di sicurezza in BigQuery dalla configurazione all'analisi, vedi Analisi dei log di sicurezza in Google Cloud.
Il seguente diagramma mostra come centralizzare il monitoraggio utilizzando sia il le capacità di rilevamento delle minacce integrate di Security Command Center e le minacce che viene eseguito in BigQuery, Google Security Operations o SIEM.
Come mostrato nel diagramma, sono disponibili diverse origini dati di sicurezza monitorare. Queste origini dati includono log di Cloud Logging, modifiche da Cloud Asset Inventory, log di Google Workspace o eventi da hypervisor o un kernel guest. Il diagramma mostra che puoi utilizzare Security Command Center per monitorare diverse origini dati. Il monitoraggio avviene automaticamente, a condizione che tu abbia attivato le funzionalità e i rilevatori di minacce appropriati in Security Command Center. Il diagramma mostra puoi anche monitorare le minacce esportando i dati sulla sicurezza e i risultati di Security Command Center in uno strumento di analisi come BigQuery, Google Security Operations o una piattaforma SIEM di terze parti. Nello strumento di analisi, il diagramma mostra che puoi eseguire ulteriori analisi e indagini utilizzando e ed estendere query e regole come quelle disponibili negli annunci associati alla ricerca personalizzata.
Passaggi successivi
Scopri di più sul logging e sul rilevamento con le risorse seguenti: