Questo documento nel framework dell'architettura Google Cloud fornisce le best practice per l'implementazione dei controlli di logging e rilevamento.
I controlli di rilevamento utilizzano la telemetria per rilevare errori di configurazione, vulnerabilità e attività potenzialmente dannose in un ambiente cloud. Google Cloud ti consente di creare monitoraggio e controlli di rilevamento su misura per il tuo ambiente. Questa sezione descrive queste funzionalità aggiuntive e i consigli per il loro utilizzo.
Monitorare le prestazioni della rete
Network Intelligence Center ti offre visibilità sulle prestazioni della topologia e dell'architettura di rete. Puoi ottenere insight dettagliati sulle prestazioni della rete e utilizzare queste informazioni per ottimizzare il deployment eliminando i colli di bottiglia dei servizi. Connectivity Tests fornisce insight sulle regole e sui criteri firewall applicati al percorso di rete.
Monitorare e prevenire l'esfiltrazione dei dati.
L’esfiltrazione dei dati è una preoccupazione fondamentale per le organizzazioni. In genere, ciò si verifica quando una persona autorizzata estrae i dati da un sistema protetto e poi li condivide con una parte non autorizzata o li sposta in un sistema non sicuro.
Google Cloud offre funzionalità e strumenti utili per rilevare e prevenire l'esfiltrazione di dati. Per ulteriori informazioni, consulta Prevenire l'esfiltrazione di dati.
Centralizza il monitoraggio
Security Command Center offre visibilità sulle risorse disponibili in Google Cloud e sul relativo stato di sicurezza. Security Command Center consente di prevenire, rilevare e rispondere alle minacce. Fornisce una dashboard centralizzata che puoi utilizzare per identificare gli errori di configurazione della sicurezza nelle macchine virtuali, nelle reti, nelle applicazioni e nei bucket di archiviazione. Puoi risolvere questi problemi prima che causino danni o perdite all'azienda. Le funzionalità integrate di Security Command Center possono rilevare le attività sospette nei log di sicurezza di Cloud Logging o indicare macchine virtuali compromesse.
Puoi rispondere alle minacce seguendo suggerimenti attuabili o esportando i log nel tuo sistema SIEM per ulteriori indagini. Per informazioni sull'utilizzo di un sistema SIEM con Google Cloud, consulta Analisi dei log di sicurezza in Google Cloud.
Security Command Center fornisce inoltre più rilevatori che ti aiutano ad analizzare la sicurezza della tua infrastruttura. Questi rilevatori includono:
Anche altri servizi Google Cloud, come i log di Google Cloud Armor, forniscono risultati da visualizzare in Security Command Center.
Abilita i servizi necessari per i carichi di lavoro, quindi monitora e analizza solo i dati importanti. Per ulteriori informazioni sull'abilitazione dei log per i servizi, consulta la sezione Abilitare i log in Analisi dei log di sicurezza in Google Cloud.
Monitora le minacce
Event Threat Detection è un servizio gestito facoltativo di Security Command Center Premium che rileva le minacce nel flusso di log. Con Event Threat Detection, puoi rilevare minacce costose e ad alto rischio come malware, cryptomining, accessi non autorizzati alle risorse Google Cloud, attacchi DDoS e attacchi di forza bruta SSH. Utilizzando le funzionalità dello strumento per sintetizzare volumi di dati di log, i team di sicurezza possono identificare rapidamente gli incidenti ad alto rischio e concentrarsi sulle attività di remediation.
Per contribuire a rilevare gli account utente potenzialmente compromessi nella tua organizzazione, utilizza i log di Cloud Platform per le azioni sensibili per capire quando vengono intraprese azioni sensibili e per confermare che tali azioni sono state intraprese da utenti validi per scopi validi. Un'azione sensibile è un'azione, come l'aggiunta di un ruolo altamente privilegiato, che potrebbe danneggiare la tua attività se un autore malintenzionato prendesse l'azione. Utilizza Cloud Logging per visualizzare, monitorare ed eseguire query sui log di Sensitive Actions Cloud Platform. Puoi inoltre visualizzare le voci del log delle azioni sensibili con il Servizio per le azioni sensibili, un servizio integrato di Security Command Center Premium.
Le operazioni di sicurezza di Google possono archiviare e analizzare tutti i tuoi dati di sicurezza in modo centralizzato. Per aiutarti a vedere l'intera durata di un attacco, Google SecOps può mappare i log in un modello comune, arricchirli e poi collegarli tra loro in cronologie. Inoltre, puoi utilizzare Google SecOps per creare regole di rilevamento, configurare la corrispondenza degli indicatori di compromissione (IoC) ed eseguire attività di ricerca delle minacce. Le regole di rilevamento devono essere scritte nella lingua YARA-L. Per esempi di regole di rilevamento delle minacce in YARA-L, consulta il repository Community Security Analytics (CSA). Oltre a scrivere le tue regole, puoi sfruttare i rilevamenti selezionati in Google SecOps. Questi rilevamenti selezionati sono un insieme di regole YARA-L predefinite e gestite che possono aiutarti a identificare le minacce.
Un'altra opzione per centralizzare i log per l'analisi della sicurezza, il controllo e l'indagine è l'utilizzo di BigQuery. In BigQuery puoi monitorare le minacce o gli errori di configurazione più comuni utilizzando query SQL (come quelle nel repository CSA) per analizzare le modifiche delle autorizzazioni, l'attività di provisioning, l'utilizzo dei carichi di lavoro, l'accesso ai dati e l'attività di rete. Per ulteriori informazioni sull'analisi dei log di sicurezza in BigQuery, dalla configurazione all'analisi, consulta Analisi dei log di sicurezza in Google Cloud.
Il seguente diagramma mostra come centralizzare il monitoraggio utilizzando sia le funzionalità integrate di rilevamento delle minacce di Security Command Center sia il rilevamento delle minacce eseguito in BigQuery, in Google Security Operations o in una soluzione SIEM di terze parti.
Come mostrato nel diagramma, esistono diverse origini dati per la sicurezza che devi monitorare. Queste origini dati includono log di Cloud Logging, modifiche agli asset da Cloud Asset Inventory, log di Google Workspace o eventi provenienti da hypervisor o un kernel guest. Il diagramma mostra che puoi utilizzare Security Command Center per monitorare queste origini dati. Questo monitoraggio viene eseguito automaticamente a condizione che tu abbia abilitato le funzionalità e i rilevatori di minacce appropriati in Security Command Center. Il diagramma mostra che puoi anche monitorare le minacce esportando i dati sulla sicurezza e i risultati di Security Command Center in uno strumento di analisi come BigQuery, Google Security Operations o un SIEM di terze parti. Nel tuo strumento di analisi, il diagramma mostra che puoi eseguire ulteriori analisi e indagini utilizzando ed estendendo query e regole come quelle disponibili in CSA.
Passaggi successivi
Scopri di più su logging e rilevamento con le seguenti risorse: