Controlli di rilevamento

Le funzionalità di rilevamento e monitoraggio delle minacce vengono fornite utilizzando una combinazione di controlli di sicurezza integrati di Security Command Center e soluzioni personalizzate che ti consentono di rilevare e rispondere agli eventi di sicurezza.

Logging centralizzato per sicurezza e controllo

Il blueprint configura le funzionalità di logging per monitorare e analizzare le modifiche alle risorse Google Cloud con log aggregati in un unico progetto.

Il seguente diagramma mostra come il blueprint aggrega i log di più fonti in più progetti in unsink di log centralizzata.

Il diagramma descrive quanto segue:

• I sink di log vengono configurati nel nodo dell'organizzazione per aggregare i log di tutti i progetti nella gerarchia delle risorse.
• Sono configurati più destinazioni dei log per inviare i log corrispondenti a un filtro a diverse destinazioni per l'archiviazione e l'analisi.
• Il progetto prj-c-logging contiene tutte le risorse per lo stoccaggio e l'analisi dei log.
• Se vuoi, puoi configurare strumenti aggiuntivi per esportare i log in un SIEM.

Il blueprint utilizza origini log diverse e include questi log nel filtro del sink di log in modo che possano essere esportati in una destinazione centralizzata. La tabella seguente descrive le origini log.

Sorgente log	Descrizione
Audit log delle attività di amministrazione	Non puoi configurare, disattivare o escludere gli audit log per le attività di amministrazione.
Audit log degli eventi di sistema	Non puoi configurare, disattivare o escludere gli audit log degli eventi di sistema.
Audit log con divieto ai sensi delle norme	Non puoi configurare o disattivare gli audit log relativi ai rifiuti ai sensi delle norme, ma puoi eventualmente escluderli con i filtri di esclusione.
Audit log di Accesso ai dati	Per impostazione predefinita, il blueprint non attiva i log di accesso ai dati perché il volume e il costo di questi log possono essere elevati. Per determinare se devi attivare i log di accesso ai dati, valuta dove i tuoi carichi di lavoro gestiscono dati sensibili e valuta se hai la necessità di attivare i log di accesso ai dati per ogni servizio e ambiente che utilizza dati sensibili.
Log di flusso VPC	Il blueprint attiva i log di flusso VPC per ogni subnet. Il blueprint configura il campionamento dei log per campionare il 50% dei log al fine di ridurre i costi. Se crei subnet aggiuntive, devi assicurarti che i log di flusso VPC siano abilitati per ogni subnet.
Logging delle regole firewall	Il blueprint attiva il logging delle regole firewall per ogni regola del criterio firewall. Se crei regole di policy firewall aggiuntive per i carichi di lavoro, devi assicurarti che il logging delle regole firewall sia abilitato per ogni nuova regola.
Logging Cloud DNS	Il blueprint attiva i log di Cloud DNS per le zone gestite. Se crei altre zone gestite, devi attivare questi log DNS.
Log di controllo di Google Workspace	Richiede un passaggio di abilitazione una tantum che non è automatizzato dal blueprint. Per ulteriori informazioni, consulta Condividere i dati con i servizi di .
Log Access Transparency	Richiede un passaggio di abilitazione una tantum che non è automatizzato dal blueprint. Per ulteriori informazioni, vedi Attivare Access Transparency.

La tabella seguente descrive i canali di log e il loro utilizzo con le destinazioni supportate nel blueprint.

Sink	Destinazione	Finalità
sk-c-logging-la	Log indirizzati ai bucket Cloud Logging con Log Analytics e un set di dati BigQuery collegato abilitato	Analizza attivamente i log. Esegui indagini ad hoc utilizzando Logs Explorer nella console o scrivi query, report e visualizzazioni SQL utilizzando il set di dati BigQuery collegato.
sk-c-logging-bkt	Log indirizzati a Cloud Storage	Archivia i log a lungo termine per scopi di conformità, controllo e monitoraggio degli incidenti. Se hai requisiti di conformità per la conservazione obbligatoria dei dati, ti consigliamo di configurare anche Blocco del secchio.
sk-c-logging-pub	Log inviati a Pub/Sub	Esportare i log in una piattaforma esterna, ad esempio il tuo SIEM esistente. Ciò richiede un lavoro aggiuntivo per l'integrazione con il tuo SIEM, ad esempio i seguenti meccanismi: Per molti strumenti, l'integrazione di terze parti con Pub/Sub è il metodo preferito per importare i log. Per Google Security Operations, puoi importare Google Cloud dati in Google Security Operations senza eseguire il provisioning di un'altra infrastruttura. Per Splunk, puoi trasmettere i log da Google Cloud a Splunk utilizzando Dataflow.

Per indicazioni su come attivare tipi di log aggiuntivi e scrivere filtri per sink di log, consulta lo strumento di definizione dell'ambito dei log.

Monitoraggio delle minacce con Security Command Center

Ti consigliamo di attivare Security Command Center Premium per consentire alla tua organizzazione di rilevare automaticamente minacce, vulnerabilità e configurazioni errate nelle risorse Google Cloud . Security Command Center genera risultati relativi alla sicurezza da più origini, tra cui:

• Security Health Analytics: rileva vulnerabilità e configurazioni errate comuni nelle risorse Google Cloud.
• Esposizione al percorso di attacco: mostra un percorso simulato di come un utente malintenzionato potrebbe sfruttare le tue risorse di alto valore, in base alle vulnerabilità e alle configurazioni errate rilevate da altre origini di Security Command Center.
• Event Threat Detection: applica la logica di rilevamento e l'intelligence sulle minacce proprietaria ai tuoi log per identificare le minacce quasi in tempo reale.
• Container Threat Detection: rileva gli attacchi comuni a runtime dei container.
• Virtual Machine Threat Detection: rileva le applicazioni potenzialmente dannose in esecuzione sulle macchine virtuali.
• Web Security Scanner: scans for OWASP Top Ten vulnerabilities in your web-facing applications on Compute Engine, App Engine, or Google Kubernetes Engine.

Per ulteriori informazioni sulle vulnerabilità e sulle minacce affrontate da Security Command Center, consulta le origini di Security Command Center.

Devi attivare Security Command Center dopo aver eseguito il deployment del blueprint. Per istruzioni, consulta Attivare Security Command Center per un'organizzazione.

Dopo aver attivato Security Command Center, ti consigliamo di esportare i risultati prodotti da Security Command Center nei tuoi strumenti o processi esistenti per la valutazione e la risposta alle minacce. Il blueprint crea il progetto prj-c-scc con un argomento Pub/Sub da utilizzare per questa integrazione. A seconda degli strumenti esistenti, utilizza uno dei seguenti metodi per esportare i risultati:

• Se utilizzi la console per gestire i risultati di sicurezza direttamente in Security Command Center, configura ruoli a livello di cartella e di progetto per Security Command Center in modo che i team possano visualizzare e gestire i risultati di sicurezza solo per i progetti di cui sono responsabili.

• Se utilizzi Google SecOps come SIEM, importa i dati di Google Cloud in Google SecOps.

• Se utilizzi uno strumento SIEM o SOAR con integrazioni in Security Command Center, condividi i dati con Cortex XSOAR, Elastic Stack, ServiceNow, Splunk o QRadar.

• Se utilizzi uno strumento esterno che può importare i risultati da Pub/Sub, configura le esportazioni continue in Pub/Sub e configura gli strumenti esistenti per importare i risultati dall'argomento Pub/Sub.

Soluzione personalizzata per l'analisi automatica dei log

Potresti avere requisiti per creare avvisi per eventi di sicurezza basati su query personalizzate sui log. Le query personalizzate possono contribuire a integrare le funzionalità del tuo SIEM analizzando i log su Google Cloud ed esportando solo gli eventi che meritano di essere esaminati, soprattutto se non hai la capacità di esportare tutti i log del cloud nel tuo SIEM.

Il blueprint consente di attivare questa analisi dei log impostando un'origine centralizzata di log su cui puoi eseguire query utilizzando un set di dati BigQuery collegato. Per automatizzare questa funzionalità, devi implementare l'esempio di codice in bq-log-alerting e estendere le funzionalità di base. Il codice campione ti consente di eseguire regolarmente query su un'origine log e di inviare un risultato personalizzato a Security Command Center.

Il seguente diagramma illustra il flusso di alto livello dell'analisi automatica dei log.

Il diagramma mostra i seguenti concetti di analisi automatica dei log:

• I log di varie origini vengono aggregati in un bucket di log centralizzato con analisi dei log e un set di dati BigQuery collegato.
• Le viste BigQuery sono configurate per eseguire query sui log relativi all'evento di sicurezza che vuoi monitorare.
• Cloud Scheduler invia un evento a un argomento Pub/Sub ogni 15 minuti e attiva le funzioni Cloud Run.
• Le funzioni Cloud Run eseguono query sulle visualizzazioni per trovare nuovi eventi. Se trova eventi, li invia a Security Command Center come risultati personalizzati.
• Security Command Center pubblica notifiche sui nuovi risultati in un altro argomento Pub/Sub.
• Uno strumento esterno come un SIEM si iscrive all'argomento Pub/Sub per importare i nuovi risultati.

Il sample ha diversi casi di utilizzo per eseguire query in cerca di comportamenti potenzialmente sospetti. Alcuni esempi sono un accesso da un elenco di super amministratori o altri account con privilegi elevati specificati da te, modifiche alle impostazioni di registrazione o modifiche alle route di rete. Puoi estendere i casi d'uso scrivendo nuove visualizzazioni query per i tuoi requisiti. Scrivi le tue query o fai riferimento all'analisi dei log di sicurezza per una libreria di query SQL che ti aiuti ad analizzare i log di Google Cloud .

Soluzione personalizzata per rispondere alle modifiche degli asset

Per rispondere agli eventi in tempo reale, ti consigliamo di utilizzare l'Cloud Asset Inventory per monitorare le modifiche agli asset. In questa soluzione personalizzata, un feed di asset è configurato per attivare notifiche su Pub/Sub relative alle modifiche alle risorse in tempo reale e poi le funzioni Cloud Run eseguono codice personalizzato per applicare la tua logica aziendale in base a se la modifica deve essere consentita.

Il blueprint contiene un esempio di questa soluzione di governance personalizzata che monitora le modifiche IAM che aggiungono ruoli altamente sensibili, tra cui Amministratore dell'organizzazione, Proprietario ed Editor. Il seguente diagramma descrive questa soluzione.

Il diagramma precedente mostra i seguenti concetti:

• Vengono apportate modifiche a un criterio di autorizzazione.
• Il feed di inventario degli asset cloud invia una notifica in tempo reale relativa alla modifica del criterio di autorizzazione a Pub/Sub.
• Pub/Sub attiva una funzione.
• Le funzioni Cloud Run eseguono codice personalizzato per applicare le norme. La funzione example ha una logica per valutare se la modifica ha aggiunto i ruoli Amministratore dell'organizzazione, Proprietario o Editor a un criterio di autorizzazione. In questo caso, la funzione crea un risultato di sicurezza personalizzato e lo invia a Security Command Center.
• Se vuoi, puoi utilizzare questo modello per automatizzare le attività di correzione. Scrivi logica di business aggiuntiva nelle funzioni Cloud Run per intervenire automaticamente sulla violazione, ad esempio ripristinare il criterio di autorizzazione allo stato precedente.

Inoltre, puoi estendere l'infrastruttura e la logica utilizzata da questa soluzione di esempio per aggiungere risposte personalizzate ad altri eventi importanti per la tua attività.

Passaggi successivi

• Scopri di più sui controlli preventivi (documento successivo di questa serie).