Controlli di rilevamento

Le funzionalità di rilevamento e monitoraggio delle minacce vengono fornite utilizzando una combinazione di controlli di sicurezza integrati di Security Command Center e soluzioni personalizzate che ti consentono rilevare e rispondere agli eventi di sicurezza.

Logging centralizzato per sicurezza e audit

Il progetto configura le funzionalità di logging per tenere traccia e analizzare le modifiche apportate le risorse Google Cloud mediante log aggregati in un singolo progetto.

Il seguente diagramma mostra come il progetto aggrega i log di più in più progetti in un sink di log centralizzato.

Il diagramma descrive quanto segue:

• I sink di log sono configurati a livello di nodo organizzazione in modo da aggregare i log di tutti di progetti nella gerarchia delle risorse.
• Più sink di log sono configurati per inviare log che corrispondono a un filtro a diversi per l'archiviazione e l'analisi.
• Il progetto prj-c-logging contiene tutte le risorse per l'archiviazione dei log e Analytics.
• Facoltativamente, puoi configurare strumenti aggiuntivi per esportare i log in una piattaforma SIEM.

Il progetto utilizza diverse origini di log e include questi log nel sink di log dei log in modo che i log possano essere esportati in una destinazione centralizzata. La la seguente tabella descrive le sorgenti log.

Sorgente log	Descrizione
Attività di amministrazione log di controllo	Non puoi configurare, disattivare o escludere il controllo dell'attività di amministrazione logaritmi.
Sistema Audit log degli eventi	Non puoi configurare, disattivare o escludere il controllo degli eventi di sistema logaritmi.
Norme negate log di controllo	Non puoi configurare o disabilitare gli audit log dei criteri negati, ma puoi facoltativamente, escludili con filtri.
Dati Accedere agli audit log	Per impostazione predefinita, il progetto non abilita i log di accesso ai dati perché il volume e il costo di questi log possono essere elevati. Per determinare se devi abilitare i log di accesso ai dati, valutare dove i carichi di lavoro gestiscono i dati sensibili valuta se è necessario abilitare i log di accesso ai dati per ogni e l'ambiente di lavoro con dati sensibili.
Log di flusso VPC	Il progetto base abilita i log di flusso VPC per ogni subnet. Lo schema configura il campionamento dei log campionare il 50% dei log per ridurre i costi. Se crei subnet aggiuntive, devi assicurarti che i log di flusso VPC siano abilitati per ogni subnet.
Logging delle regole firewall	Il progetto abilita il logging delle regole firewall per ogni criterio firewall personalizzata. Se crei regole di criterio firewall aggiuntive per i carichi di lavoro, devi assicurarti che il logging delle regole firewall sia abilitato per ogni nuova regola.
Cloud DNS log	Il progetto base abilita i log di Cloud DNS per le zone gestite. Se se crei zone gestite aggiuntive, devi abilitare i relativi log DNS.
Google Workspace log di controllo	Richiede un passaggio di attivazione una tantum che non sia automatizzato dal progetto. Per ulteriori informazioni, consulta Condividere i dati con Google Cloud.
Trasparenza degli accessi log	Richiede un passaggio di attivazione una tantum che non sia automatizzato dal progetto. Per ulteriori informazioni, vedi Attivare Access Transparency.

La tabella seguente descrive i sink di log e il modo in cui vengono utilizzati con destinazioni supportate nel progetto.

Sink	Destinazione	Finalità
sk-c-logging-la	Log instradato ai bucket Cloud Logging con Log Analytics e un set di dati BigQuery collegato abilitati	Analizza attivamente i log. Eseguire indagini ad hoc utilizzando Esplora log nella console o scrivere query, report e viste SQL utilizzando il set di dati BigQuery.
sk-c-logging-bkt	Log con routing a Cloud Storage	Archivia i log a lungo termine per la conformità, i controlli e il monitoraggio degli incidenti scopi. Facoltativamente, se disponi di requisiti di conformità per conservazione dei dati, ti consigliamo di configurare anche Blocca.
sk-c-logging-pub	Log indirizzati in Pub/Sub	Esportare i log su una piattaforma esterna, ad esempio quella esistente SIEM. L'integrazione con la piattaforma SIEM richiede attività aggiuntive, ad esempio i seguenti meccanismi: Per molti strumenti, le applicazioni di terze parti l'integrazione con Pub/Sub è il metodo preferito per l'importazione logaritmi. Per Google Security Operations, puoi importare Dati di Google Cloud a Google Security Operations senza provisioning un'infrastruttura aggiuntiva. Per Splunk, puoi trasmettere in streaming log da Google Cloud a Splunk utilizzando Dataflow.

Per indicazioni sull'abilitazione di tipi di log aggiuntivi e sulla scrittura di filtri per i sink di log, consulta tramite lo strumento di definizione dell'ambito dei log.

Monitoraggio delle minacce con Security Command Center

Ti consigliamo di attivare Security Command Center Premium per consentire alla tua azienda di rilevare automaticamente minacce, vulnerabilità e gli errori di configurazione nelle tue risorse Google Cloud. Security Command Center crea risultati sulla sicurezza provenienti da più fonti, tra cui:

• Security Health Analytics: rileva vulnerabilità ed errori di configurazione comuni in Google Cloud Google Cloud.
• Esposizione del percorso di attacco: mostra un percorso simulato di come un aggressore potrebbe sfruttare delle risorse, in base alle vulnerabilità e agli errori di configurazione rilevati da altre origini di Security Command Center.
• Rilevamento delle minacce di eventi: applica la logica di rilevamento e l'intelligence sulle minacce di proprietà ai tuoi log per identificare le minacce quasi in tempo reale.
• Container Threat Detection: rileva gli attacchi più comuni al runtime dei container.
• Rilevamento delle minacce alle macchine virtuali: rileva le applicazioni potenzialmente dannose in esecuzione su macchine virtuali.
• Web Security Scanner: analizza le vulnerabilità OWASP Top Ten nelle applicazioni web su Compute Engine, App Engine o Google Kubernetes Engine.

Per maggiori informazioni sulle vulnerabilità e sulle minacce affrontate Security Command Center, vedi Origini di Security Command Center.

Devi attivare Security Command Center dopo aver eseguito il deployment del progetto base. Per istruzioni, consulta Attivare Security Command Center per un'organizzazione.

Dopo aver attivato Security Command Center, ti consigliamo di esportare i risultati che vengono prodotti da Security Command Center agli strumenti o ai processi esistenti per assegnare una priorità e rispondere alle minacce. Il progetto crea il progetto prj-c-scc con un Argomento Pub/Sub da utilizzare per questa integrazione. In base esistenti, utilizza uno dei seguenti metodi per esportare i risultati:

• Se usi la console per gestire i risultati sulla sicurezza direttamente in Security Command Center, Configurare ruoli a livello di cartella e di progetto di Security Command Center per consentire ai team di visualizzare e gestire i risultati sulla sicurezza solo ai progetti di cui sono responsabili.

• Se utilizzi Google SecOps come SIEM, importa i dati di Google Cloud in Google SecOps.

• Se utilizzi uno strumento SIEM o SOAR con integrazioni a Security Command Center, condividi i dati con Cortex XSOAR, Stack Elastic, ServiceNow, Splunk o QRadar.

• Se usi uno strumento esterno in grado di importare i risultati in Pub/Sub, configura le esportazioni continue in Pub/Sub e configurare gli strumenti esistenti per l'importazione dall'argomento Pub/Sub.

Soluzione personalizzata per l'analisi automatizzata dei log

Potrebbero essere previsti requisiti per creare avvisi per eventi di sicurezza basati delle query personalizzate sui log. Le query personalizzate possono contribuire a integrare le funzionalità del tuo SIEM analizzando i log su Google Cloud ed esportando solo gli eventi che meritano un'indagine, soprattutto se non si dispone per esportare tutti i log cloud nella tua piattaforma SIEM.

Il progetto aiuta ad abilitare questa analisi dei log impostando un'origine centralizzata di log su cui puoi eseguire query usando un set di dati BigQuery collegato. A automatizzare questa funzionalità, devi implementare l'esempio di codice bq-log-alerting ed estendere le funzionalità di base. Il codice campione ti consente di eseguire query un'origine log e inviare un risultato personalizzato a Security Command Center.

Il seguente diagramma introduce il flusso di alto livello del log automatico e analisi.

Il diagramma mostra i seguenti concetti dell'analisi automatizzata dei log:

• I log provenienti da varie origini vengono aggregati in un bucket di log centralizzato con dei log e un set di dati BigQuery collegato.
• Le viste BigQuery sono configurate per eseguire query sui log per la sicurezza da monitorare.
• Cloud Scheduler esegue il push di un evento in un argomento Pub/Sub ogni 15 minuti e attiva Cloud Functions.
• Cloud Functions esegue query sulle viste per i nuovi eventi. Se trova eventi, ne esegue il push in Security Command Center come risultati personalizzati.
• Security Command Center pubblica notifiche sui nuovi risultati su un altro Pub/Sub.
• Uno strumento esterno come SIEM esegue la sottoscrizione all'argomento Pub/Sub a importare nuovi risultati.

L'esempio ha diversi utilizzi richieste per rilevare comportamenti potenzialmente sospetti. Alcuni esempi sono le credenziali di accesso da un un elenco di super amministratori o altri account con privilegi elevati da te specificati modifiche alle impostazioni di logging o modifiche alle route di rete. Puoi estendere i casi d'uso scrivendo nuove visualizzazioni delle query in base ai tuoi requisiti. Scrivi la tua opzione personale query o fare riferimento alle analisi dei log di sicurezza per ottenere una libreria di query SQL che ti aiuteranno ad analizzare i log di Google Cloud.

Soluzione personalizzata per rispondere alle modifiche degli asset

Per rispondere agli eventi in tempo reale, ti consigliamo di utilizzare Cloud Asset Inventory per monitorare le modifiche agli asset. In questa soluzione personalizzata, è configurato un feed di asset per attivare le notifiche per in Pub/Sub sulle modifiche alle risorse in tempo reale e quindi Cloud Functions esegue codice personalizzato per applicare la tua logica di business in base a se la modifica deve essere consentita.

Il progetto contiene un esempio di soluzione di governance personalizzata che monitora per le modifiche IAM che aggiungono ruoli altamente sensibili, tra cui Amministratore dell'organizzazione, Proprietario ed Editor. Il seguente diagramma descrive questa soluzione.

Il diagramma precedente mostra questi concetti:

• Vengono apportate modifiche a un criterio di autorizzazione.
• Il feed di Cloud Asset Inventory invia una notifica in tempo reale sull'autorizzazione modifica del criterio in Pub/Sub.
• Pub/Sub attiva una funzione.
• Cloud Functions esegue codice personalizzato per applicare il criterio. La la funzione di esempio ha una logica per valutare se la modifica ha aggiunto il valore Ruoli Amministratore, Proprietario o Editor in un criterio di autorizzazione. In tal caso, la funzione crea un risultato di sicurezza personalizzato e la invia a Security Command Center.
• Facoltativamente, puoi utilizzare questo modello per automatizzare le attività di correzione. Scrivi logica di business aggiuntiva in Cloud Functions per un'azione specifica sul risultato, ad esempio il ripristino del criterio di autorizzazione precedente stato.

Inoltre, puoi estendere l'infrastruttura e la logica utilizzate in questo esempio per aggiungere risposte personalizzate ad altri eventi importanti per il tuo attività.

Passaggi successivi

• Scopri di più sui controlli di prevenzione (documento successivo di questa serie).