Questo documento nel Framework dell'architettura Google Cloud fornisce le best practice per implementare la registrazione e i controlli di rilevamento.
I controlli investigativi usano la telemetria per rilevare errori di configurazione, vulnerabilità e potenzialmente dannose in un ambiente cloud. Google Cloud consente di creare controlli di monitoraggio e rilevamento personalizzati per il tuo ambiente. Questa sezione descrive queste funzionalità aggiuntive e i consigli per il loro utilizzo.
Monitorare le prestazioni della rete
Centro Network Intelligence Center ti offre visibilità sulle prestazioni della topologia e dell'architettura di rete l'efficienza operativa. Puoi ottenere approfondimenti dettagliati sulle prestazioni della rete, quindi utilizzare queste informazioni per ottimizzare il deployment eliminando i colli di bottiglia i servizi di machine learning. Test di connettività fornisce insight sulle regole e sui criteri firewall applicati al percorso di rete.
Monitorare e prevenire l'esfiltrazione dei dati.
L'esfiltrazione di dati è una preoccupazione fondamentale per le organizzazioni. In genere si verifica quando una persona autorizzata estrae i dati da un sistema protetto e poi li condivide con una parte non autorizzata o li sposta in un sistema non sicuro.
Google Cloud offre diversi strumenti e funzionalità che ti consentono di rilevare e impedire l'esfiltrazione di dati. Per ulteriori informazioni, vedi Prevenire l'esfiltrazione di dati.
Centralizza il monitoraggio
Security Command Center offre visibilità sulle risorse di Google Cloud al loro stato di sicurezza. Security Command Center ti aiuta a prevenire, rilevare e rispondere alle minacce. Fornisce una dashboard centralizzata che puoi utilizzare per identificare le configurazioni errate della sicurezza nelle macchine virtuali, nelle reti, nelle applicazioni e nei bucket di archiviazione. Puoi risolvere questi problemi prima che causare danni o perdite all'azienda. Le funzionalità integrate di Security Command Center possono rilevare attività sospette nei log di sicurezza di Cloud Logging o indicare di macchine virtuali compromesse.
Puoi rispondere alle minacce seguendo consigli attuabili oppure esportando i log SIEM sistema per ulteriori indagini. Per informazioni sull'utilizzo di un sistema SIEM con Google Cloud, consulta Analisi dei log di sicurezza in Google Cloud.
Security Command Center fornisce anche più rilevatori che ti aiutano ad analizzare la sicurezza della tua infrastruttura. Questi rilevatori includono:
Anche altri servizi Google Cloud, come i log di Google Cloud Armor, forniscono risultati da visualizzare in Security Command Center.
Attiva i servizi necessari per i tuoi carichi di lavoro, quindi monitora e analizza solo i dati importanti. Per ulteriori informazioni sull'abilitazione della registrazione nei servizi, consulta la sezione Attivare i log in Analisi dei log di sicurezza in Google Cloud.
Monitorare le minacce
Rilevamento delle minacce di eventi è un servizio gestito opzionale di Security Command Center Premium che rileva le minacce nel flusso di log. Utilizzando Event Threat Detection, puoi rilevare e minacce costose come malware, cryptomining, accessi non autorizzati Risorse Google Cloud, attacchi DDoS e attacchi di forza bruta SSH. Utilizzando le funzionalità dello strumento per analizzare grandi volumi di dati di log, i team di sicurezza possono identificare rapidamente gli incidenti ad alto rischio e concentrarsi sulla risoluzione.
Per rilevare più account utente potenzialmente compromessi nella tua organizzazione, usa i log di Cloud Platform per le azioni sensibili per identificare quando vengono intraprese azioni sensibili e per confermare che utenti validi eseguire queste azioni per scopi validi. Un'azione sensibile è un'azione, come l'aggiunta di un ruolo con privilegi elevati, che potrebbe danneggiare la tua attività se un utente malintenzionato la eseguisse. Utilizza Cloud Logging per visualizzare, monitorare, e eseguire query sui log della piattaforma Cloud per le azioni sensibili. Puoi anche visualizzare le voci dei log delle azioni sensibili con il servizio di azioni sensibili, un servizio integrato di Security Command Center Premium.
Operazioni di sicurezza di Google consente di archiviare e analizzare centralmente tutti i dati di sicurezza. Per aiutarti a vedere l'intera durata di un attacco, Google SecOps può mappare i log in un modello comune, arricchirli e poi collegarli in sequenze temporali. Inoltre, puoi utilizzare Google SecOps per creare regole di rilevamento, degli indicatori di corrispondenza di compromissione (IoC) ed eseguire la ricerca delle minacce attività. Scrivi le regole di rilevamento nel Lingua YARA-L. Per esempi di regole di rilevamento delle minacce in YARA-L, consulta il repository Community Security Analytics (CSA). Oltre a scrivere regole personalizzate, puoi sfruttare rilevamenti selezionati in Google SecOps. Questi rilevamenti selezionati sono un insieme di regole YARA-L predefinite e gestite che possono aiutarti a identificare le minacce.
Un'altra opzione per centralizzare i log per analisi, controllo e indagini sulla sicurezza è utilizzare BigQuery. In BigQuery, puoi monitorare minacce o configurazioni errate comuni utilizzando query SQL (come quelle nel repository CSA) per analizzare le modifiche alle autorizzazioni, le attività di provisioning, l'utilizzo dei carichi di lavoro, l'accesso ai dati e l'attività di rete. Per ulteriori informazioni sull'analisi dei log di sicurezza in BigQuery dalla configurazione all'analisi, vedi Analisi dei log di sicurezza in Google Cloud.
Il seguente diagramma mostra come centralizzare il monitoraggio utilizzando sia il le capacità di rilevamento delle minacce integrate di Security Command Center e le minacce che viene eseguito in BigQuery, Google Security Operations o SIEM.
Come mostrato nel diagramma, esistono diverse origini dati di sicurezza che devi monitorare. Queste origini dati includono i log di Cloud Logging, le modifiche degli asset da Cloud Asset Inventory, i log di Google Workspace o gli eventi dell'hypervisor o di un kernel guest. Il diagramma mostra che puoi utilizzare Security Command Center per monitorare queste origini dati. Il monitoraggio avviene automaticamente, a condizione che tu abbia attivato le funzionalità e i rilevatori di minacce appropriati in Security Command Center. Il diagramma mostra puoi anche monitorare le minacce esportando i dati sulla sicurezza e i risultati di Security Command Center in uno strumento di analisi come BigQuery, Google Security Operations o una piattaforma SIEM di terze parti. Nel tuo strumento di analisi, il diagramma indica che puoi eseguire ulteriori analisi e indagini utilizzando e estendendo query e regole come quelle disponibili in CSA.
Passaggi successivi
Scopri di più su logging e rilevamento con le seguenti risorse:
- Cloud Logging
Introduzione a Google Security Operations Detect di Google Cloud
Creare un processo collaborativo di gestione degli incidenti