Dieses Dokument im Google Cloud-Architektur-Framework enthält Best Practices für die Implementierung von Logging- und Erkennungskontrollen.
Erkennungskontrollen verwenden Telemetrie, um Fehlkonfigurationen, Sicherheitslücken und potenziell schädliche Aktivitäten in einer Cloudumgebung zu erkennen. Mit Google Cloud können Sie maßgeschneiderte Monitoring- und Erkennungskontrollen für Ihre Umgebung erstellen. In diesem Abschnitt werden diese zusätzlichen Features und Empfehlungen für ihre Verwendung beschrieben.
Netzwerkleistung überwachen
Im Network Intelligence Center erhalten Sie Einblick in die Leistung Ihrer Netzwerktopologie und Architektur. Sie erhalten detaillierte Informationen zur Netzwerkleistung und können diese Informationen dann zur Optimierung Ihrer Bereitstellung nutzen und so Engpässe in Ihren Diensten vermeiden. Konnektivitätstests bieten Einblicke in die Firewallregeln und -richtlinien, die auf den Netzwerkpfad angewendet werden.
Daten-Exfiltration überwachen und verhindern
Die unbefugte Datenweitergabe ist für Unternehmen ein wichtiges Problem. In der Regel geschieht das, wenn eine autorisierte Person Daten aus einem gesicherten System extrahiert und diese Daten dann an eine nicht autorisierte Partei weitergibt oder in ein unsicheres System verschiebt.
Google Cloud bietet verschiedene Features und Tools, mit denen Sie Daten-Exfiltration erkennen und verhindern können. Weitere Informationen finden Sie unter Daten-Exfiltration verhindern.
Monitoring zentralisieren
Das Security Command Center bietet Einblick in die Ressourcen in Google Cloud und deren Sicherheitsstatus. Mit Security Command Center können Sie Bedrohungen verhindern, erkennen und darauf reagieren. Es bietet ein zentrales Dashboard, mit dem Sie Sicherheitsfehlkonfigurationen in virtuellen Maschinen, in Netzwerken, Anwendungen und in Storage-Buckets identifizieren können. Sie können diese Probleme beheben, bevor sie zu Schäden oder Verlusten für das Unternehmen führen. Die integrierten Funktionen von Security Command Center können verdächtige Aktivitäten in Ihren Cloud Logging-Sicherheitslogs anzeigen oder auf manipulierte virtuelle Maschinen hinweisen.
Sie können auf Bedrohungen reagieren, wenn Sie die Handlungsempfehlungen befolgen oder Logs in Ihr SIEM exportieren, um sie näher zu untersuchen. Informationen zur Verwendung eines SIEM-Systems mit Google Cloud finden Sie unter Sicherheitsloganalysen in Google Cloud.
Security Command Center bietet außerdem mehrere Detektoren, mit denen Sie die Sicherheit Ihrer Infrastruktur analysieren können. Zu diesen Detektoren gehören:
Andere Google Cloud-Dienste wie Google Cloud Armor-Logs liefern ebenfalls Ergebnisse für die Anzeige im Security Command Center.
Aktivieren Sie die Dienste, die Sie für Ihre Arbeitslasten benötigen, und überwachen und analysieren Sie dann nur wichtige Daten. Weitere Informationen zum Aktivieren von Logging für Dienste finden Sie im Abschnitt Logs aktivieren von Sicherheitsloganalysen in Google Cloud.
Auf Bedrohungen überwachen
Event Threat Detection ist ein optionaler verwalteter Dienst von Security Command Center Premium, der Bedrohungen in Ihrem Logstream erkennt. Mithilfe von Event Threat Detection können Sie riskante und kostspielige Bedrohungen wie Malware, Kryptomining, nicht autorisierten Zugriff auf Google Cloud-Ressourcen, DDoS-Angriffe und Brute-Force-SSH-Angriffe erkennen. Mithilfe der Features des Tools, mit denen die Menge von Logdaten generiert wird, können Ihre Sicherheitsteams Vorfälle mit hohem Risiko schnell erkennen und sich auf die Behebung konzentrieren.
Um potenziell gefährdete Nutzerkonten in Ihrem Unternehmen aufzuspüren, verwenden Sie die Sensitive Actions Cloud Platform-Logs, um festzustellen, wann sensible Aktionen durchgeführt werden, und um zu bestätigen, dass gültige Nutzer diese Aktionen für gültige Zwecke durchgeführt haben. Eine sensible Aktion ist eine Aktion, z. B. das Hinzufügen einer Rolle mit umfangreichen Berechtigungen, die Ihrem Unternehmen schädigen könnte, wenn ein böswilliger Akteur die Aktion ausführt. Verwenden Sie Cloud Logging, um die Cloud Platform-Logs mit vertraulichen Aktionen anzuzeigen, zu überwachen und abzufragen. Sie können sich die vertraulichen Aktionslogeinträge auch mit dem Sensitive Actions Service ansehen, einem integrierten Dienst von Security Command Center Premium.
Chronicle kann alle Ihre Sicherheitsdaten zentral speichern und analysieren. Damit Sie den gesamten Umfang eines Angriffs sehen können, kann Chronicle die Logs einem gemeinsamen Modell zuordnen, sie anreichern und dann in Zeitachsen zusammenfassen. Sie können Chronicle verwenden, um Erkennungsregeln zu erstellen, den Abgleich von Kompromittierungsindikatoren (IoC) einzurichten und Aktivitäten zur Bedrohungssuche auszuführen. Die Erkennungsregeln werden in der YARA-L-Sprache geschrieben. Beispiele für Regeln zur Erkennung von Bedrohungen in YARA-L finden Sie im Repository Community Security Analytics (CSA). Sie können nicht nur Ihre eigenen Regeln schreiben, sondern auch die abgestimmten Erkennungsmechanismen in Chronicle nutzen. Diese abgestimmten Erkennungsmechanismen sind vordefinierte und verwaltete YARA-L-Regeln, mit denen Sie Bedrohungen identifizieren können.
Eine weitere Möglichkeit zur Zentralisierung Ihrer Logs für Sicherheitsanalysen, Audits und Prüfungen ist die Verwendung von BigQuery. In BigQuery beobachten Sie häufige Bedrohungen oder Fehlkonfigurationen mithilfe von SQL-Abfragen (z. B. im CSA-Repository), um Berechtigungsänderungen, Bereitstellungsaktivitäten, Arbeitslastnutzung, Datenzugriffe und Netzwerkaktivitäten zu analysieren. Weitere Informationen zu Sicherheitsloganalysen in BigQuery von der Einrichtung bis zur Analyse finden Sie unter Sicherheitsloganalysen in Google Cloud.
Das folgende Diagramm zeigt, wie Sie Ihr Monitoring mithilfe der integrierten Bedrohungserkennungsfunktionen von Security Command Center und der Bedrohungserkennung in BigQuery, Chronicle oder einem Drittanbieter-SIEM zentralisieren können ansehen
Wie im Diagramm dargestellt, sollten Sie eine Vielzahl von Sicherheitsdatenquellen überwachen. Zu diesen Datenquellen gehören Logs aus Cloud Logging, Asset-Änderungen aus Cloud Asset Inventory, Google Workspace-Logs oder Ereignisse aus Hypervisor oder einem Gast-Kernel. Das Diagramm zeigt, dass Sie diese Datenquellen mit Security Command Center überwachen können. Dieses Monitoring erfolgt automatisch, sofern Sie die entsprechenden Features und Bedrohungsdetektoren im Security Command Center aktiviert haben. Das Diagramm zeigt, dass Sie auch auf Bedrohungen überwachen können. Exportieren Sie dazu Sicherheitsdaten und Security Command Center-Ergebnisse in ein Analysetool wie BigQuery, Chronicle oder einen SIEM eines Drittanbieters. In Ihrem Analysetool zeigt das Diagramm, dass Sie weitere Analysen und Prüfungen mithilfe von Abfragen und Regeln wie in CSA verfügbar machen können.
Nächste Schritte
Weitere Informationen zum Logging und zur Erkennung finden Sie in den folgenden Ressourcen: