Le funzionalità di rilevamento e monitoraggio delle minacce vengono fornite utilizzando una combinazione di controlli di sicurezza integrati di Security Command Center e soluzioni personalizzate che ti consentono rilevare e rispondere agli eventi di sicurezza.
Logging centralizzato per sicurezza e audit
Il progetto configura le funzionalità di logging per tenere traccia e analizzare le modifiche apportate le risorse Google Cloud mediante log aggregati in un singolo progetto.
Il seguente diagramma mostra come il blueprint aggrega i log di più fonti in più progetti in un'area di destinazione dei log centralizzata.
Il diagramma descrive quanto segue:
- I sink di log vengono configurati nel nodo dell'organizzazione per aggregare i log di tutti i progetti nella gerarchia delle risorse.
- Più sink di log sono configurati per inviare log che corrispondono a un filtro a diversi per l'archiviazione e l'analisi.
- Il progetto
prj-c-logging
contiene tutte le risorse per l'archiviazione dei log e Analytics. - Facoltativamente, puoi configurare strumenti aggiuntivi per esportare i log in una piattaforma SIEM.
Il blueprint utilizza origini log diverse e include questi log nel filtro del sink di log in modo che possano essere esportati in una destinazione centralizzata. La la seguente tabella descrive le sorgenti log.
Sorgente log |
Descrizione |
---|---|
Non puoi configurare, disattivare o escludere gli audit log per le attività di amministrazione. |
|
Non puoi configurare, disattivare o escludere il controllo degli eventi di sistema logaritmi. |
|
Non puoi configurare o disattivare gli audit log relativi ai criteri rifiutati, ma puoi eventualmente escluderli con i filtri di esclusione. |
|
Per impostazione predefinita, il progetto non abilita i log di accesso ai dati perché il volume e il costo di questi log possono essere elevati. Per determinare se devi abilitare i log di accesso ai dati, valutare dove i carichi di lavoro gestiscono i dati sensibili valuta se è necessario abilitare i log di accesso ai dati per ogni nel servizio e nell'ambiente che usano dati sensibili. |
|
Il progetto base abilita i log di flusso VPC per ogni subnet. Il blueprint configura il campionamento dei log per campionare il 50% dei log al fine di ridurre i costi. Se crei subnet aggiuntive, devi assicurarti che i log di flusso VPC siano abilitati per ogni subnet. |
|
Il progetto abilita il logging delle regole firewall per ogni criterio firewall personalizzata. Se crei regole di criteri firewall aggiuntive per i carichi di lavoro, devi assicurarti che il logging delle regole firewall sia abilitato per ogni nuova regola. |
|
Il progetto base abilita i log di Cloud DNS per le zone gestite. Se crei altre zone gestite, devi attivare questi log DNS. |
|
Richiede un passaggio di attivazione una tantum che non è automatizzato dal blueprint. Per saperne di più, vedi Condividere i dati con i servizi di Google Cloud. |
|
Richiede un passaggio di attivazione una tantum che non è automatizzato dal blueprint. Per ulteriori informazioni, vedi Attivare Access Transparency. |
La tabella seguente descrive i sink di log e il modo in cui vengono utilizzati con destinazioni supportate nel progetto.
Sink |
Destinazione |
Finalità |
---|---|---|
|
Log indirizzati ai bucket Cloud Logging con Log Analytics e un set di dati BigQuery collegato abilitato |
Analizza attivamente i log. Esegui indagini ad hoc utilizzando Logs Explorer nella console o scrivi query, report e visualizzazioni SQL utilizzando il set di dati BigQuery collegato. |
|
Archivia i log a lungo termine per la conformità, i controlli e il monitoraggio degli incidenti scopi. Facoltativamente, se disponi di requisiti di conformità per conservazione dei dati, ti consigliamo di configurare anche Blocca. |
|
|
Esportare i log su una piattaforma esterna, ad esempio quella esistente SIEM. L'integrazione con la piattaforma SIEM richiede attività aggiuntive, ad esempio i seguenti meccanismi:
|
Per indicazioni su come attivare tipi di log aggiuntivi e scrivere filtri per i sink dei log, consulta lo strumento di definizione dell'ambito dei log.
Monitoraggio delle minacce con Security Command Center
Ti consigliamo di attivare Security Command Center Premium consentire alla tua azienda di rilevare automaticamente minacce, vulnerabilità e gli errori di configurazione nelle tue risorse Google Cloud. Security Command Center crea risultati sulla sicurezza provenienti da più fonti, tra cui:
- Security Health Analytics: rileva vulnerabilità e configurazioni errate comuni nelle risorse Google Cloud.
- Esposizione al percorso di attacco: mostra un percorso simulato di come un utente malintenzionato potrebbe sfruttare le tue risorse di alto valore, in base alle vulnerabilità e alle configurazioni errate rilevate da altre origini di Security Command Center.
- Rilevamento delle minacce di eventi: applica la logica di rilevamento e l'intelligence sulle minacce di proprietà ai tuoi log per identificare le minacce quasi in tempo reale.
- Container Threat Detection: rileva gli attacchi più comuni al runtime dei container.
- Virtual Machine Threat Detection: rileva le applicazioni potenzialmente dannose in esecuzione sulle macchine virtuali.
- Web Security Scanner: scans for OWASP Top Ten vulnerabilities in your web-facing applications on Compute Engine, App Engine, or Google Kubernetes Engine.
Per maggiori informazioni sulle vulnerabilità e sulle minacce affrontate Security Command Center, vedi Origini di Security Command Center.
Devi attivare Security Command Center dopo aver eseguito il deployment del blueprint. Per istruzioni, consulta Attivare Security Command Center per un'organizzazione.
Dopo aver attivato Security Command Center, ti consigliamo di esportare i risultati che
vengono prodotti da Security Command Center agli strumenti o ai processi esistenti per assegnare una priorità
e rispondere alle minacce. Il progetto crea il progetto prj-c-scc
con un
Argomento Pub/Sub da utilizzare per questa integrazione. A seconda degli strumenti
esistenti, utilizza uno dei seguenti metodi per esportare i risultati:
- Se usi la console per gestire i risultati sulla sicurezza direttamente in Security Command Center, Configurare ruoli a livello di cartella e di progetto di Security Command Center per consentire ai team di visualizzare e gestire i risultati sulla sicurezza solo ai progetti di cui sono responsabili.
Se utilizzi Google SecOps come SIEM, importa i dati di Google Cloud in Google SecOps.
Se utilizzi uno strumento SIEM o SOAR con integrazioni in Security Command Center, condividi i dati con Cortex XSOAR, Elastic Stack, ServiceNow, Splunk o QRadar.
Se utilizzi uno strumento esterno che può importare i risultati da Pub/Sub, configura le esportazioni continue in Pub/Sub e configura gli strumenti esistenti per importare i risultati dall'argomento Pub/Sub.
Soluzione personalizzata per l'analisi automatizzata dei log
Potresti avere requisiti per creare avvisi per eventi di sicurezza basati su query personalizzate sui log. Le query personalizzate possono contribuire a integrare le funzionalità del tuo SIEM analizzando i log su Google Cloud ed esportando solo gli eventi che meritano di essere esaminati, soprattutto se non hai la capacità di esportare tutti i log cloud nel tuo SIEM.
Il blueprint consente di attivare questa analisi dei log impostando un'origine centralizzata
di log su cui puoi eseguire query utilizzando un set di dati BigQuery collegato. A
automatizzare questa funzionalità, devi implementare l'esempio di codice
bq-log-alerting
ed estendere le funzionalità di base. Il codice campione ti consente di eseguire query
un'origine log e inviare un risultato personalizzato a Security Command Center.
Il seguente diagramma illustra il flusso di alto livello dell'analisi automatica dei log.
Il diagramma mostra i seguenti concetti dell'analisi automatizzata dei log:
- I log provenienti da varie origini vengono aggregati in un bucket di log centralizzato con dei log e un set di dati BigQuery collegato.
- Le viste BigQuery sono configurate per eseguire query sui log per l'evento di sicurezza che vuoi monitorare.
- Cloud Scheduler invia un evento a un argomento Pub/Sub ogni 15 minuti e attiva le funzioni Cloud Run.
- Le funzioni Cloud Run eseguono query sulle visualizzazioni per trovare nuovi eventi. Se trova eventi, ne esegue il push in Security Command Center come risultati personalizzati.
- Security Command Center pubblica notifiche sui nuovi risultati su un altro Pub/Sub.
- Uno strumento esterno come un SIEM si iscrive all'argomento Pub/Sub per importare i nuovi risultati.
Il sample ha diversi casi di utilizzo per eseguire query in cerca di comportamenti potenzialmente sospetti. Alcuni esempi sono le credenziali di accesso da un un elenco di super amministratori o altri account con privilegi elevati da te specificati modifiche alle impostazioni di logging o modifiche alle route di rete. Puoi estendere i casi d'uso scrivendo nuove visualizzazioni delle query in base ai tuoi requisiti. Scrivi la tua opzione personale query o fare riferimento alle analisi dei log di sicurezza per ottenere una libreria di query SQL che ti aiuteranno ad analizzare i log di Google Cloud.
Soluzione personalizzata per rispondere alle modifiche degli asset
Per rispondere agli eventi in tempo reale, ti consigliamo di utilizzare l'inventario asset di Cloud per monitorare le modifiche degli asset. In questa soluzione personalizzata, è configurato un feed di asset per attivare le notifiche per in Pub/Sub sulle modifiche alle risorse in tempo reale e quindi Le funzioni Cloud Run eseguono codice personalizzato per applicare la tua logica di business a seconda che la modifica sia consentita o meno.
Il blueprint contiene un esempio di questa soluzione di governance personalizzata che monitora le modifiche IAM che aggiungono ruoli altamente sensibili, tra cui Amministratore dell'organizzazione, Proprietario ed Editor. Il seguente diagramma descrive questa soluzione.
Il diagramma precedente mostra i seguenti concetti:
- Vengono apportate modifiche a un criterio di autorizzazione.
- Il feed di Cloud Asset Inventory invia una notifica in tempo reale sull'autorizzazione modifica del criterio in Pub/Sub.
- Pub/Sub attiva una funzione.
- Le funzioni Cloud Run eseguono codice personalizzato per applicare le norme. La la funzione di esempio ha la logica per valutare se la modifica ha aggiunto il valore Ruoli Amministratore, Proprietario o Editor in un criterio di autorizzazione. In tal caso, la funzione crea un risultato di sicurezza personalizzato e la invia a Security Command Center.
- Se vuoi, puoi utilizzare questo modello per automatizzare le attività di correzione. Scrittura logica di business aggiuntiva nelle funzioni di Cloud Run per un'azione specifica sul risultato, ad esempio il ripristino del criterio di autorizzazione precedente stato.
Inoltre, puoi estendere l'infrastruttura e la logica utilizzate in questo esempio per aggiungere risposte personalizzate ad altri eventi importanti per il tuo attività.
Passaggi successivi
- Scopri di più sui controlli preventivi (documento successivo di questa serie).