Controles de detetive

Os recursos de detecção e monitoramento de ameaças são fornecidos usando uma combinação de controles de segurança integrados do Security Command Center e soluções personalizadas que permitem detectar e responder a eventos de segurança.

Geração de registros centralizada para segurança e auditoria

O blueprint configura recursos de geração de registros para rastrear e analisar alterações nos recursos do Google Cloud com registros agregados a um único projeto.

No diagrama a seguir, mostramos como o blueprint agrega registros de várias origens em vários projetos em um coletor de registros centralizado.

O diagrama descreve o seguinte:

• Os coletores de registros são configurados no nó da organização para agregar registros de todos os projetos na hierarquia de recursos.
• Vários coletores de registros são configurados para enviar registros que correspondem a um filtro a destinos diferentes para armazenamento e análise.
• O projeto prj-c-logging contém todos os recursos para armazenamento de registros e análise.
• Se quiser, você pode configurar outras ferramentas para exportar registros para um SIEM.

O blueprint usa diferentes origens de registro e os inclui no filtro do coletor para que os registros possam ser exportados para um destino centralizado. A tabela a seguir descreve as origens de registro.

Origem do registro	Descrição
Registros de auditoria de atividade do administrador	Não é possível configurar, desativar ou excluir os registros de auditoria de atividade do administrador.
Registros de auditoria de evento do sistema	Não é possível configurar, desativar ou excluir registros de auditoria de eventos do sistema.
Registros de auditoria de política negada:	Não é possível configurar ou desativar os registros de auditoria de políticas negadas, mas você pode excluí-los com filtros de exclusão.
Registros de auditoria de acesso aos dados	Por padrão, o blueprint não ativa os registros de acesso a dados porque o volume e o custo desses registros podem ser altos. Para determinar se você precisa ativar os registros de acesso a dados, avalie onde suas cargas de trabalho lidam com dados confidenciais e considere se há um requisito para ativar os registros de acesso a dados para cada serviço e ambiente que trabalha com dados confidenciais.
Registros de fluxo de VPC	O blueprint ativa os registros de fluxo de VPC para cada sub-rede. O blueprint configura a amostragem de registros para criar amostras de 50% dos registros e reduzir o custo. Se você criar outras sub-redes, garanta que os registros de fluxo de VPC estejam ativados em cada sub-rede.
Registro de regras de firewall	O blueprint ativa a geração de registros de regras de firewall para todas as regras da política de firewall. Se você criar outras regras de política de firewall para cargas de trabalho, verifique se a geração de registros de regras de firewall está ativada para cada regra nova.
Geração de registros do Cloud DNS	O blueprint ativa os registros do Cloud DNS para zonas gerenciadas. Se você criar outras zonas gerenciadas, será necessário ativar esses registros DNS.
Geração de registros de auditoria do Google Workspace	Requer uma etapa única de ativação que não é automatizada pelo blueprint. Para mais informações, consulte Compartilhar dados com os serviços do Google Cloud.
os registros de Transparência no acesso	Requer uma etapa única de ativação que não é automatizada pelo blueprint. Para mais informações, consulte Ativar transparência no acesso.

Veja na tabela a seguir os coletores de registro e como eles são usados com destinos compatíveis no blueprint.

Coletor	Destino	Finalidade
sk-c-logging-la	Registros roteados para buckets do Cloud Logging com a Análise de registros e um conjunto de dados vinculado do BigQuery ativado	Analisa registros ativamente. Execute investigações específicas usando o Explorador de registros no console ou escreva consultas, relatórios e visualizações SQL usando o conjunto de dados vinculado do BigQuery.
sk-c-logging-bkt	Registros roteados para o Cloud Storage	Armazene registros a longo prazo para fins de conformidade, auditoria e rastreamento de incidentes. Opcionalmente, se você tiver requisitos de conformidade para a retenção obrigatório de dados, recomendamos que configure também o Bloqueio de bucket.
sk-c-logging-pub	Registros roteados para o Pub/Sub	Exporte os registros para uma plataforma externa, como seu SIEM atual. Isso exige mais trabalho para integração ao SIEM, como estes mecanismos: Para muitas ferramentas, a integração de terceiros com o Pub/Sub é o método preferido para ingerir registros. Nas operações de segurança do Google, é possível ingerir dados do Google Cloud para as operações de segurança do Google sem provisionar mais infraestrutura. Para o Splunk, é possível fazer streaming de registros do Google Cloud para o Splunk usando o Dataflow.

Para orientações sobre como ativar outros tipos de registro e gravar filtros de coletor de registros, consulte a ferramenta de escopo de registros.

Monitoramento de ameaças com o Security Command Center

Recomendamos que você ative o Security Command Center Premium para sua organização detectar automaticamente ameaças, vulnerabilidades e configurações incorretas nos recursos do Google Cloud. O Security Command Center cria descobertas de segurança de várias fontes, incluindo:

• Security Health Analytics:detecta vulnerabilidades comuns e configurações incorretas nos recursos do Google Cloud.
• Exposição ao caminho de ataque:mostra um caminho simulado de como um invasor pode explorar recursos de alto valor com base nas vulnerabilidades e configurações incorretas detectadas por outras fontes do Security Command Center.
• Detecção de ameaças a eventos:aplica a lógica de detecção e a inteligência reservada contra ameaças aos seus registros para identificar ameaças quase em tempo real.
• Detecção de ameaças a contêineres:detecta ataques comuns ao ambiente de execução do contêiner.
• Detecção de ameaças a máquinas virtuais:detecta aplicativos potencialmente maliciosos em execução nas máquinas virtuais.
• Web Security Scanner: verifica as dez principais vulnerabilidades do OWASP nos seus aplicativos voltados para a Web no Compute Engine, no App Engine ou no Google Kubernetes Engine.

Para mais informações sobre as vulnerabilidades e ameaças abordadas pelo Security Command Center, consulte Origens do Security Command Center.

Ative o Security Command Center depois de implantar o blueprint. Para mais instruções, consulte Ativar o Security Command Center para uma organização.

Depois de ativar o Security Command Center, recomendamos que você exporte as descobertas produzidas pelo Security Command Center para as ferramentas ou processos atuais a fim de fazer a triagem e responder a ameaças. O blueprint cria o projeto prj-c-scc com um tópico do Pub/Sub a ser usado para essa integração. Dependendo das ferramentas atuais, use um dos métodos a seguir para exportar as descobertas:

• Se você usar o console para gerenciar descobertas de segurança diretamente no Security Command Center, configure papéis no nível da pasta e do projeto do Security Command Center para permitir que as equipes visualizem e gerenciem as descobertas de segurança para os projetos pelos quais é responsável.

• Se você usa o Google SecOps como SIEM, ingira os dados do Google Cloud para o Google SecOps.

• Se você usa uma ferramenta SIEM ou SOAR com integrações ao Security Command Center, compartilhe dados com o Cortex XSOAR, o Elastic Stack, ServiceNow, Splunk ou QRadar.

• Se você usa uma ferramenta externa que pode ingerir descobertas do Pub/Sub, configure exportações contínuas para o Pub/Sub e as ferramentas atuais para ingerir descobertas do Pub/Sub Subtópico.

Alertas sobre métricas com base em registros e de desempenho

Quando você começar a implantar cargas de trabalho em sua base, recomendamos que use o Cloud Monitoring para medir as métricas de desempenho.

O blueprint cria um projeto de monitoramento, como prj-p-monitoring, para cada ambiente. Esse projeto é configurado como um projeto de escopo para reunir métricas de desempenho agregadas em vários projetos. O blueprint implanta um exemplo com métricas com base em registros e uma política de alertas para gerar notificações por e-mail se houver alguma alteração na política do IAM. que é aplicado aos buckets do Cloud Storage. Isso ajuda a monitorar atividades suspeitas em recursos confidenciais, como o bucket no projeto prj-b-seed que contém o estado do Terraform.

Em geral, também é possível usar o Cloud Monitoring para medir as métricas de desempenho e a integridade dos aplicativos de carga de trabalho. Dependendo da responsabilidade operacional por oferecer suporte e monitorar aplicativos na sua organização, é possível criar projetos de monitoramento mais granulares para diferentes equipes. Use esses projetos de monitoramento para visualizar métricas de desempenho, criar painéis de integridade do aplicativo e acionar alertas quando o SLO esperado não for atendido.

O diagrama a seguir mostra uma visão de alto nível de como o Cloud Monitoring agrega métricas de desempenho.

Para orientações sobre como monitorar cargas de trabalho de maneira eficaz quanto à confiabilidade e disponibilidade, consulte o manual Engenharia de confiabilidade do site do Google, especialmente o capítulo sobre monitoramento distribuído sistemas.

Solução personalizada para análise automatizada de registros

Você pode ter requisitos para criar alertas para eventos de segurança baseados em consultas personalizadas em registros. As consultas personalizadas podem complementar os recursos do SIEM analisando registros no Google Cloud e exportando apenas os eventos que merecem investigação, especialmente se você não tiver capacidade de exportar todos os registros da nuvem para o SIEM.

O blueprint ajuda a ativar essa análise de registros, configurando uma fonte centralizada de registros que pode ser consultada usando um conjunto de dados vinculado do BigQuery. Para automatizar esse recurso, implemente o exemplo de código em bq-log-alerting e amplie os recursos básicos. O exemplo de código permite consultar regularmente uma origem de registro e enviar uma descoberta personalizada ao Security Command Center.

O diagrama a seguir apresenta o fluxo geral da análise de registros automatizada.

O diagrama mostra os seguintes conceitos de análise automatizada de registros:

• Os registros de várias origens são agregados em um bucket de registros centralizado com análise de registros e um conjunto de dados vinculado do BigQuery.
• As visualizações do BigQuery são configuradas para consultar registros do evento de segurança que você quer monitorar.
• O Cloud Scheduler envia um evento para um tópico do Pub/Sub a cada 15 minutos e aciona o Cloud Functions.
• O Cloud Functions consulta as visualizações em busca de novos eventos. Se ele encontrar eventos, ele os enviará para o Security Command Center como descobertas personalizadas.
• O Security Command Center publica notificações sobre novas descobertas em outro tópico do Pub/Sub.
• Uma ferramenta externa, como um SIEM, assina o tópico do Pub/Sub para ingerir novas descobertas.

A amostra tem vários casos de uso para consultar comportamentos potencialmente suspeitos. Exemplos incluem um login de uma lista de superadministradores ou outras contas altamente privilegiadas especificadas por você, alterações nas configurações de registro ou alterações nas rotas de rede. É possível ampliar os casos de uso gravando novas visualizações de consulta para seus requisitos. Escreva suas próprias consultas ou consulte a análise de registros de segurança para uma biblioteca de consultas SQL que vai ajudar você a analisar os registros do Google Cloud.

Solução personalizada para responder a mudanças nos recursos

Para responder a eventos em tempo real, recomendamos que você use o Inventário de recursos do Cloud para monitorar as alterações de recursos. Nesta solução personalizada, um feed de recursos é configurado para acionar notificações no Pub/Sub sobre alterações nos recursos em tempo real e, em seguida, o Cloud Functions executa o código personalizado para aplicar sua própria lógica de negócios com base a mudança deve ser permitida.

O blueprint tem um exemplo dessa solução de governança personalizada que monitora alterações do IAM que adicionam papéis altamente confidenciais, incluindo administrador, proprietário e editor da organização. O diagrama a seguir descreve essa solução.

O diagrama anterior mostra esses conceitos:

• Foram feitas alterações em uma política de permissão.
• O feed do Inventário de recursos do Cloud envia uma notificação em tempo real sobre a alteração da política de permissão para o Pub/Sub.
• O Pub/Sub aciona uma função.
• O Cloud Functions executa código personalizado para aplicar sua política. A função de exemplo tem lógica para avaliar se a alteração adicionou os papéis de administrador, proprietário ou editor da organização a uma política de permissão. Nesse caso, a função cria uma descoberta de segurança personalizada e a envia ao Security Command Center.
• Opcionalmente, é possível usar esse modelo para automatizar os esforços de correção. Grave uma lógica de negócios extra no Cloud Functions para realizar ações automaticamente com relação à descoberta, como reverter a política de permissão para o estado anterior.

Além disso, é possível estender a infraestrutura e a lógica usadas por essa solução de exemplo para adicionar respostas personalizadas a outros eventos importantes para seu negócio.

A seguir

• Leia sobre controles de detecção (próximo documento desta série).