Controlos de deteção

As capacidades de deteção e monitorização de ameaças são fornecidas através de uma combinação de controlos de segurança incorporados do Security Command Center e soluções personalizadas que lhe permitem detetar e responder a eventos de segurança.

Registo centralizado para segurança e auditoria

O projeto configura capacidades de registo para acompanhar e analisar alterações aos seus recursos do Google Cloud com registos agregados a um único projeto. Google Cloud

O diagrama seguinte mostra como o esquema agrega registos de várias origens em vários projetos num destino de registos centralizado.

O diagrama descreve o seguinte:

• Os sinks de registo são configurados no nó da organização para agregar registos de todos os projetos na hierarquia de recursos.
• Estão configurados vários destinos de registos para enviar registos que correspondam a um filtro para diferentes destinos de armazenamento e estatísticas.
• O projeto prj-c-logging contém todos os recursos para o armazenamento de registos e as estatísticas.
• Opcionalmente, pode configurar ferramentas adicionais para exportar registos para um SIEM.

O projeto usa diferentes origens de registos e inclui estes registos no filtro do sink de registos para que os registos possam ser exportados para um destino centralizado. A tabela seguinte descreve as origens dos registos.

Origem do registo	Descrição
Registos de auditoria da atividade do administrador	Não pode configurar, desativar nem excluir registos de auditoria da atividade de administrador.
Registos de auditoria de eventos do sistema	Não pode configurar, desativar nem excluir registos de auditoria de eventos do sistema.
Registos de auditoria de políticas recusadas	Não pode configurar nem desativar os registos de auditoria de acesso negado por políticas, mas pode excluí-los opcionalmente com filtros de exclusão.
Registos de auditoria de acesso a dados	Por predefinição, o projeto não ativa os registos de acesso aos dados porque o volume e o custo destes registos podem ser elevados. Para determinar se deve ativar os registos de acesso a dados, avalie onde as suas cargas de trabalho processam dados confidenciais e considere se tem um requisito para ativar os registos de acesso a dados para cada serviço e ambiente que trabalham com dados confidenciais.
Registos de fluxo de VPC	O projeto permite os registos de fluxo de VPC para cada sub-rede. A configuração do esquema configura a amostragem de registos para amostrar 50% dos registos e reduzir o custo. Se criar sub-redes adicionais, tem de garantir que os registos de fluxo de VPC estão ativados para cada sub-rede.
Registo de regras de firewall	O projeto permite o registo de regras de firewall para cada regra de política de firewall. Se criar regras de políticas de firewall adicionais para cargas de trabalho, tem de garantir que o registo de regras de firewall está ativado para cada nova regra.
Registo do Cloud DNS	O projeto permite os registos do Cloud DNS para zonas geridas. Se criar zonas geridas adicionais, tem de ativar esses registos de DNS.
Registo de auditoria do Google Workspace	Requer um passo de ativação único que não é automatizado pelo esquema. Para mais informações, consulte o artigo Partilhe dados com os Google Cloud serviços.
Registos da Transparência de acesso	Requer um passo de ativação único que não é automatizado pelo projeto. Para mais informações, consulte o artigo Ative a Transparência de acesso.

A tabela seguinte descreve os destinos de registo e como são usados com os destinos suportados no projeto.

Lava-louça	Destino	Finalidade
sk-c-logging-la	Registos encaminhados para contentores do Cloud Logging com a análise de registos e um conjunto de dados do BigQuery associado ativado	Analise ativamente os registos. Execute investigações ad hoc através do Explorador de registos na consola ou escreva consultas SQL, relatórios e vistas através do conjunto de dados do BigQuery associado.
sk-c-logging-bkt	Registos encaminhados para o Cloud Storage	Armazenar registos a longo prazo para fins de conformidade, auditoria e acompanhamento de incidentes. Opcionalmente, se tiver requisitos de conformidade para a retenção de dados obrigatória, recomendamos que configure também o Bucket Lock.
sk-c-logging-pub	Registos encaminhados para o Pub/Sub	Exporte registos para uma plataforma externa, como o seu SIEM existente. Isto requer trabalho adicional para a integração com o seu SIEM, como os seguintes mecanismos: Para muitas ferramentas, a integração de terceiros com o Pub/Sub é o método preferido para carregar registos. Para o Google Security Operations, pode carregar Google Cloud dados para o Google Security Operations sem aprovisionar infraestrutura adicional. Para o Splunk, pode transmitir registos do Google Cloud para o Splunk através do Dataflow.

Para orientações sobre como ativar tipos de registos adicionais e escrever filtros de destino de registos, consulte a ferramenta de âmbito dos registos.

Monitorização de ameaças com o Security Command Center

Recomendamos que ative o Security Command Center Premium para a sua organização para detetar automaticamente ameaças, vulnerabilidades e erros de configuração nos seus Google Cloud recursos. O Security Command Center cria resultados de segurança a partir de várias origens, incluindo as seguintes:

• Security Health Analytics: deteta vulnerabilidades e configurações incorretas comuns em Google Cloud recursos.
• Exposição do caminho de ataque: mostra um caminho simulado de como um atacante pode explorar os seus recursos de alto valor, com base nas vulnerabilidades e nas configurações incorretas detetadas por outras origens do Security Command Center.
• Deteção de ameaças de eventos: aplica lógica de deteção e inteligência de ameaças proprietária aos seus registos para identificar ameaças quase em tempo real.
• Deteção de ameaças de contentores: deteta ataques comuns de tempo de execução de contentores.
• Deteção de ameaças da máquina virtual: deteta aplicações potencialmente maliciosas que estão a ser executadas em máquinas virtuais.
• Web Security Scanner: procura vulnerabilidades do OWASP Top Ten nas suas aplicações viradas para a Web no Compute Engine, App Engine ou Google Kubernetes Engine.

Para mais informações sobre as vulnerabilidades e as ameaças abordadas pelo Security Command Center, consulte as fontes do Security Command Center.

Tem de ativar o Security Command Center depois de implementar o projeto. Para ver instruções, consulte o artigo Ative o Security Command Center para uma organização.

Depois de ativar o Security Command Center, recomendamos que exporte as conclusões produzidas pelo Security Command Center para as suas ferramentas ou processos existentes para a triagem e a resposta a ameaças. O projeto cria o projeto prj-c-scc com um tópico do Pub/Sub a ser usado para esta integração. Consoante as suas ferramentas existentes, use um dos seguintes métodos para exportar as conclusões:

• Se usar a consola para gerir resultados de segurança diretamente no Security Command Center, configure funções ao nível da pasta e do projeto para o Security Command Center permitir que as equipas vejam e geram resultados de segurança apenas para os projetos pelos quais são responsáveis.

• Se usar o Google SecOps como o seu SIEM, carregue Google Cloud dados para o Google SecOps.

• Se usar uma ferramenta SIEM ou SOAR com integrações no Security Command Center, partilhe dados com o Cortex XSOAR, Elastic Stack, ServiceNow, Splunk, ou QRadar.

• Se usar uma ferramenta externa que possa carregar resultados do Pub/Sub, configure exportações contínuas para o Pub/Sub e configure as suas ferramentas existentes para carregar resultados do tópico Pub/Sub.

Solução personalizada para análise de registos automatizada

Pode ter requisitos para criar alertas para eventos de segurança com base em consultas personalizadas em registos. As consultas personalizadas podem ajudar a complementar as capacidades do seu SIEM analisando registos no Google Cloud e exportando apenas os eventos que merecem investigação, especialmente se não tiver capacidade para exportar todos os registos da nuvem para o seu SIEM.

Este esquema ajuda a ativar esta análise de registos configurando uma origem centralizada de registos que pode consultar através de um conjunto de dados do BigQuery associado. Para automatizar esta capacidade, tem de implementar o exemplo de código em bq-log-alerting e expandir as capacidades básicas. O código de exemplo permite-lhe consultar regularmente uma origem de registos e enviar uma descoberta personalizada para o Security Command Center.

O diagrama seguinte apresenta o fluxo de alto nível da análise de registos automatizada.

O diagrama mostra os seguintes conceitos de análise de registos automatizada:

• Os registos de várias origens são agregados num contentor de registos centralizado com estatísticas de registos e um conjunto de dados do BigQuery associado.
• As vistas do BigQuery estão configuradas para consultar registos do evento de segurança que quer monitorizar.
• O Cloud Scheduler envia um evento para um tópico do Pub/Sub a cada 15 minutos e aciona funções do Cloud Run.
• As funções do Cloud Run consultam as visualizações de novos eventos. Se encontrar eventos, envia-os para o Security Command Center como resultados personalizados.
• O Security Command Center publica notificações sobre novas conclusões noutro tópico do Pub/Sub.
• Uma ferramenta externa, como um SIEM, subscreve o tópico do Pub/Sub para carregar novas descobertas.

O exemplo tem vários exemplos de utilização para consultar comportamentos potencialmente suspeitos. Os exemplos incluem um início de sessão a partir de uma lista de superadministradores ou outras contas com privilégios elevados que especificar, alterações às definições de registo ou alterações às rotas de rede. Pode expandir os exemplos de utilização escrevendo novas visualizações de consultas para os seus requisitos. Escreva as suas próprias consultas ou consulte as estatísticas de registos de segurança para aceder a uma biblioteca de consultas SQL que ajudam a analisar os registos Google Cloud .

Solução personalizada para responder a alterações de recursos

Para responder a eventos em tempo real, recomendamos que use o Cloud Asset Inventory para monitorizar alterações de recursos. Nesta solução personalizada, um feed de recursos é configurado para acionar notificações para o Pub/Sub sobre alterações aos recursos em tempo real e, em seguida, as funções do Cloud Run executam código personalizado para aplicar a sua própria lógica empresarial com base no facto de a alteração dever ser permitida.

O projeto tem um exemplo desta solução de governação personalizada que monitoriza as alterações de IAM que adicionam funções altamente confidenciais, incluindo administrador da organização, proprietário e editor. O diagrama seguinte descreve esta solução.

O diagrama anterior mostra estes conceitos:

• São feitas alterações a uma política de permissão.
• O feed do Cloud Asset Inventory envia uma notificação em tempo real sobre a alteração da política de permissão para o Pub/Sub.
• O Pub/Sub aciona uma função.
• As funções do Cloud Run executam código personalizado para aplicar a sua política. A função de exemplo tem lógica para avaliar se a alteração adicionou as funções de administrador, proprietário ou editor da organização a uma política de autorização. Se for o caso, a função cria uma descoberta de segurança personalizada e envia-a para o Security Command Center.
• Opcionalmente, pode usar este modelo para automatizar os esforços de remediação. Escrever lógica empresarial adicional nas funções do Cloud Run para tomar automaticamente medidas relativamente à descoberta, como reverter a política de autorização para o estado anterior.

Além disso, pode expandir a infraestrutura e a lógica usadas por esta solução de exemplo para adicionar respostas personalizadas a outros eventos importantes para a sua empresa.

O que se segue?

• Leia acerca dos controlos preventivos (documento seguinte nesta série).