Controlli di rilevamento

Le funzionalità di rilevamento e monitoraggio delle minacce vengono fornite utilizzando una combinazione di controlli di sicurezza integrati di Security Command Center e soluzioni personalizzate che consentono di rilevare e rispondere agli eventi di sicurezza.

Logging centralizzato per sicurezza e audit

Il progetto configura le funzionalità di logging per tenere traccia e analizzare le modifiche alle risorse Google Cloud con i log aggregati in un singolo progetto.

Il seguente diagramma mostra in che modo il progetto aggrega i log di più origini in più progetti in un sink di log centralizzato.

Il diagramma descrive quanto segue:

• I sink di log sono configurati nel nodo organizzazione per aggregare i log di tutti i progetti nella gerarchia delle risorse.
• Più sink di log sono configurati per inviare log che corrispondono a un filtro a destinazioni diverse per l'archiviazione e l'analisi.
• Il progetto prj-c-logging contiene tutte le risorse per l'archiviazione e l'analisi dei log.
• Facoltativamente, puoi configurare strumenti aggiuntivi per esportare i log in una piattaforma SIEM.

Il progetto base utilizza origini di log diverse e include questi log nel filtro del sink di log, in modo che possano essere esportati in una destinazione centralizzata. La seguente tabella descrive le origini log.

Sorgente log	Descrizione
Log di controllo delle attività di amministrazione	Non puoi configurare, disabilitare o escludere gli audit log dell'attività di amministrazione.
Audit log degli eventi di sistema	Non puoi configurare, disabilitare o escludere gli audit log degli eventi di sistema.
Audit log dei criteri negati	Non puoi configurare o disabilitare gli audit log dei criteri negati, ma puoi facoltativamente escluderli con i filtri di esclusione.
Audit log di accesso ai dati	Per impostazione predefinita, il progetto non abilita i log di accesso ai dati perché il volume e il costo di questi log possono essere elevati. Per determinare se abilitare i log di accesso ai dati, valuta dove i carichi di lavoro gestiscono i dati sensibili e valuta se è necessario abilitare i log di accesso ai dati per ogni servizio e ambiente che utilizza dati sensibili.
Log di flusso VPC	Il progetto base abilita i log di flusso VPC per ogni subnet. Il progetto configura il campionamento dei log per campionare il 50% dei log in modo da ridurre i costi. Se crei subnet aggiuntive, devi assicurarti che i log di flusso VPC siano abilitati per ogni subnet.
Logging delle regole firewall	Il progetto base abilita il logging delle regole firewall per ogni regola del criterio firewall. Se crei regole di criterio firewall aggiuntive per i carichi di lavoro, devi assicurarti che il logging delle regole firewall sia abilitato per ogni nuova regola.
Logging di Cloud DNS	Il progetto base abilita i log di Cloud DNS per le zone gestite. Se crei zone gestite aggiuntive, devi abilitare i relativi log DNS.
Log di controllo di Google Workspace	Richiede un passaggio di attivazione una tantum che non sia automatizzato dal progetto. Per ulteriori informazioni, vedi Condividere i dati con i servizi di Google Cloud.
Log di Access Transparency	Richiede un passaggio di attivazione una tantum che non sia automatizzato dal progetto. Per ulteriori informazioni, vedi Attivare Access Transparency.

La seguente tabella descrive i sink di log e il modo in cui vengono utilizzati con le destinazioni supportate nel progetto.

Sink	Destinazione	Finalità
sk-c-logging-la	Log instradati ai bucket Cloud Logging con Analisi dei log e un set di dati BigQuery collegato abilitato	Analizza attivamente i log. Esegui indagini ad hoc utilizzando Esplora log nella console oppure scrivi query, report e viste SQL utilizzando il set di dati BigQuery collegato.
sk-c-logging-bkt	Log instradati a Cloud Storage	Archivia i log a lungo termine per scopi di conformità, audit e monitoraggio degli incidenti. Facoltativamente, se soddisfi requisiti di conformità per la conservazione obbligatoria dei dati, ti consigliamo di configurare anche il Blocco bucket.
sk-c-logging-pub	Log con routing a Pub/Sub	Esporta i log su una piattaforma esterna come il SIEM esistente. L'integrazione con la piattaforma SIEM richiede attività aggiuntive, ad esempio i seguenti meccanismi: Per molti strumenti, l'integrazione di terze parti con Pub/Sub è il metodo preferito per importare i log. Per Google Security Operations, puoi importare i dati di Google Cloud in Google Security Operations senza eseguire il provisioning dell'infrastruttura aggiuntiva. Per Splunk, puoi trasmettere flussi di log da Google Cloud a Splunk utilizzando Dataflow.

Per indicazioni sull'abilitazione di tipi di log aggiuntivi e sulla scrittura di filtri per i sink di log, consulta lo strumento di definizione dell'ambito dei log.

Monitoraggio delle minacce con Security Command Center

Ti consigliamo di attivare Security Command Center Premium per la tua organizzazione per rilevare automaticamente minacce, vulnerabilità e configurazioni errate nelle tue risorse Google Cloud. Security Command Center crea risultati sulla sicurezza da più origini, tra cui:

• Security Health Analytics: rileva vulnerabilità e configurazioni errate comuni nelle risorse Google Cloud.
• Esposizione del percorso di attacco: mostra un percorso simulato di come un utente malintenzionato potrebbe sfruttare le tue risorse di alto valore, in base alle vulnerabilità e agli errori di configurazione rilevati da altre origini di Security Command Center.
• Event Threat Detection: applica logica di rilevamento e intelligence sulle minacce di proprietà ai tuoi log per identificare le minacce quasi in tempo reale.
• Container Threat Detection:rileva gli attacchi più comuni al runtime dei container.
• Rilevamento delle minacce alle macchine virtuali: rileva le applicazioni potenzialmente dannose in esecuzione su macchine virtuali.
• Web Security Scanner: scansiona le vulnerabilità OWASP Top Ten nelle tue applicazioni web su Compute Engine, App Engine o Google Kubernetes Engine.

Per ulteriori informazioni sulle vulnerabilità e sulle minacce affrontate da Security Command Center, consulta le origini di Security Command Center.

Devi attivare Security Command Center dopo aver eseguito il deployment del progetto base. Per le istruzioni, vedi Attivare Security Command Center per un'organizzazione.

Dopo aver attivato Security Command Center, ti consigliamo di esportare i risultati prodotti da Security Command Center negli strumenti o nei processi esistenti per valutare e rispondere alle minacce. Il progetto crea il progetto prj-c-scc con un argomento Pub/Sub da utilizzare per questa integrazione. A seconda degli strumenti esistenti, utilizza uno dei seguenti metodi per esportare i risultati:

• Se utilizzi la console per gestire i risultati sulla sicurezza direttamente in Security Command Center, configura i ruoli a livello di cartella e di progetto per Security Command Center in modo da consentire ai team di visualizzare e gestire i risultati relativi alla sicurezza solo per i progetti di cui sono responsabili.

• Se utilizzi Google SecOps come SIEM, importa i dati di Google Cloud in Google SecOps.

• Se utilizzi uno strumento SIEM o SOAR con integrazioni a Security Command Center, condividi i dati con Cortex XSOAR, Elastic Stack, ServiceNow, Splunk o QRadar.

• Se usi uno strumento esterno in grado di importare i risultati da Pub/Sub, configura le esportazioni continue in Pub/Sub e configura gli strumenti esistenti per importare i risultati dall'argomento Pub/Sub.

Avvisi sulle metriche basate su log e sulle metriche delle prestazioni

Quando inizi a eseguire il deployment dei carichi di lavoro in cima agli elementi di base, ti consigliamo di usare Cloud Monitoring per misurare le metriche delle prestazioni.

Il progetto crea un progetto di monitoraggio come prj-p-monitoring per ogni ambiente. Questo progetto è configurato come progetto di ambito per raccogliere metriche aggregate sulle prestazioni di più progetti. Il progetto esegue il deployment di un esempio con metriche basate su log e di un criterio di avviso per generare notifiche via email in caso di modifiche al criterio IAM applicato ai bucket Cloud Storage. Ciò consente di monitorare le attività sospette su risorse sensibili come il bucket nel progetto prj-b-seed che contiene lo stato di Terraform.

Più in generale, puoi anche utilizzare Cloud Monitoring per misurare le metriche delle prestazioni e l'integrità delle applicazioni dei carichi di lavoro. A seconda della responsabilità operativa per il supporto e il monitoraggio delle applicazioni nella tua organizzazione, potresti creare progetti di monitoraggio più granulari per team diversi. Utilizza questi progetti di monitoraggio per visualizzare le metriche delle prestazioni, creare dashboard di integrità delle applicazioni e attivare avvisi quando non viene soddisfatto lo SLO previsto.

Il seguente diagramma mostra una visione generale di come Cloud Monitoring aggrega le metriche delle prestazioni.

Per indicazioni su come monitorare in modo efficace i carichi di lavoro per verificarne l'affidabilità e la disponibilità, consulta il libro Site Reliability Engineering di Google, in particolare il capitolo sul monitoraggio dei sistemi distribuiti.

Soluzione personalizzata per l'analisi automatizzata dei log

Potrebbero essere previsti requisiti per creare avvisi per gli eventi di sicurezza basati su query personalizzate sui log. Le query personalizzate possono aiutarti a integrare le funzionalità del tuo SIEM analizzando i log su Google Cloud ed esportando solo gli eventi che meritano un'indagine, soprattutto se non hai la capacità di esportare tutti i log cloud nella tua piattaforma SIEM.

Il progetto aiuta ad abilitare questa analisi dei log impostando un'origine centralizzata dei log su cui puoi eseguire query utilizzando un set di dati BigQuery collegato. Per automatizzare questa funzionalità, devi implementare l'esempio di codice in bq-log-alerting ed estendere le funzionalità di base. Il codice campione ti consente di eseguire regolarmente query su un'origine log e inviare un risultato personalizzato a Security Command Center.

Il seguente diagramma introduce il flusso generale dell'analisi dei log automatizzati.

Il diagramma mostra i seguenti concetti dell'analisi automatizzata dei log:

• I log di varie origini vengono aggregati in un bucket di log centralizzato con analisi dei log e un set di dati BigQuery collegato.
• Le viste BigQuery sono configurate per eseguire query sui log per l'evento di sicurezza che vuoi monitorare.
• Cloud Scheduler esegue il push di un evento in un argomento Pub/Sub ogni 15 minuti e attiva Cloud Functions.
• Cloud Functions esegue query sulle viste per i nuovi eventi. Se trova eventi, li invia a Security Command Center come risultati personalizzati.
• Security Command Center pubblica notifiche sui nuovi risultati in un altro argomento Pub/Sub.
• Uno strumento esterno come SIEM sottoscrive l'argomento Pub/Sub per importare nuovi risultati.

L'esempio include diversi casi d'uso per eseguire query su comportamenti potenzialmente sospetti. Alcuni esempi sono un accesso da un elenco di super amministratori o altri account con privilegi elevati da te specificati, modifiche alle impostazioni di logging o modifiche alle route di rete. Puoi estendere i casi d'uso scrivendo nuove visualizzazioni delle query in base ai tuoi requisiti. Scrivi le tue query o fai riferimento all'analisi dei log di sicurezza per una libreria di query SQL che ti aiuteranno ad analizzare i log di Google Cloud.

Soluzione personalizzata per rispondere alle modifiche degli asset

Per rispondere agli eventi in tempo reale, consigliamo di utilizzare Cloud Asset Inventory per monitorare le modifiche agli asset. In questa soluzione personalizzata, un feed di asset è configurato per attivare notifiche in tempo reale a Pub/Sub sulle modifiche alle risorse, quindi Cloud Functions esegue un codice personalizzato per applicare la logica di business a seconda che la modifica sia consentita o meno.

Il progetto contiene un esempio di questa soluzione di governance personalizzata che monitora le modifiche IAM che aggiungono ruoli altamente sensibili tra cui Amministratore dell'organizzazione, Proprietario ed Editor. Il seguente diagramma descrive questa soluzione.

Il diagramma precedente mostra questi concetti:

• Vengono apportate modifiche a un criterio di autorizzazione.
• Il feed di Cloud Asset Inventory invia una notifica in tempo reale sulla modifica del criterio di autorizzazione in Pub/Sub.
• Pub/Sub attiva una funzione.
• Cloud Functions esegue codice personalizzato per applicare il criterio. La funzione di esempio ha la logica per valutare se la modifica ha aggiunto i ruoli Amministratore, Proprietario o Editor dell'organizzazione a un criterio di autorizzazione. In questo caso, la funzione crea un risultato di sicurezza personalizzato e lo invia a Security Command Center.
• Facoltativamente, puoi utilizzare questo modello per automatizzare le attività di correzione. Scrivi la logica di business aggiuntiva in Cloud Functions per agire automaticamente in merito al risultato, ad esempio ripristinare lo stato precedente del criterio di autorizzazione.

Inoltre, puoi estendere l'infrastruttura e la logica utilizzate da questa soluzione di esempio per aggiungere risposte personalizzate ad altri eventi importanti per la tua attività.

Passaggi successivi

• Scopri di più sui controlli preventivi (prossimo documento di questa serie).